Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'maint-0.3.5' into maint-0.4.4

"ours" to avoid version bump.

Bump to 0.3.5.15-dev

Copy ChangeLog into ReleaseNotes.

Pick a date, draft a blurb

Backport changelog entries

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'maint-0.3.5' into maint-0.4.4

Fix TROVE-2021-006: Out-of-bounds read on v3 desc parsing

Merge branch 'maint-0.4.4' into release-0.4.4

Resolve remaining merge conflicts in relay.c

(My bad!)

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'maint-0.3.5' into maint-0.4.4

Conflicts resolved:
src/core/or/relay.c

TROVE-2021-003: Check layer_hint before half-closed end and resolve cells

This issue was reported by Jann Horn part of Google's Project Zero.

Jann's one-sentence summary: entry/middle relays can spoof RELAY_END cells on
half-closed streams, which can lead to stream confusion between OP and
exit.

Fixes #40389

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'maint-0.3.5' into maint-0.4.4

Merge branch 'bug40391_035' into maint-0.3.5

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'maint-0.3.5' into maint-0.4.4

Merge branch 'bug40390_035_squashed' into maint-0.3.5

Assert on _all_ failures from RAND_bytes().

Previously, we would detect errors from a missing RNG
implementation, but not failures from the RNG code itself.

Fortunately, it appears those failures do not happen in practice
when Tor is using OpenSSL's default RNG implementation.  Fixes bug
40390; bugfix on 0.2.8.1-alpha. This issue is also tracked as
TROVE-2021-004. Reported by Jann Horn at Google's Project Zero.

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'maint-0.3.5' into maint-0.4.4

Update geoip files to match ipfire location db, 2021/06/10.

remove rolled-up changes files.

Start on a changelog for 0.4.4.9

Merge branch 'maint-0.4.4' into release-0.4.4

Bump to 0.4.4.9

Merge branch 'maint-0.3.5' into maint-0.4.4

Bump to 0.3.5.15.

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'maint-0.3.5' into maint-0.4.4

Remove the function `tor_tls_assert_renegotiation_unblocked`.

It was used nowhere outside its own unit tests, and it was causing
compilation issues with recent OpenSSL 3.0.0 alphas.

Closes ticket 40399.

Use a more secure hash function for the circuitmux hashtable.

Fixes bug 40931; bugfix on 0.2.4.4-alpha. Also tracked as
TROVE-2021-005.

This issue was reported by Jann Horn from Google's Project Zero.

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'maint-0.3.5' into maint-0.4.4

Reindent a few lines to fix a GCC warning.

As of GCC 11.1.1, the compiler warns us about code like this:

     if (a)
         b;
         c;

and that's a good thing: we wouldn't want to "goto fail".  But we
had an instance if this in circuituse.c, which was making our
compilation sad.

Fixes bug 40380; bugfix on 0.3.0.1-alpha.

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'maint-0.3.5' into maint-0.4.4

Update geoip files to match ipfire location db, 2021/05/07.

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'maint-0.3.5' into maint-0.4.4

Merge remote-tracking branch 'tor-gitlab/mr/363' into maint-0.3.5

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'maint-0.3.5' into maint-0.4.4

fallbackdir: Remove two unspec lines

Signed-off-by: David Goulet <dgoulet@torproject.org>

Fix test naming, and fix tests on windows.

This is a bugfix against my fix for #40133, which has not yet
appeared in 0.3.5.

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'maint-0.3.5' into maint-0.4.4

fallbackdir: Renegerate list with 200 relays

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'maint-0.3.5' into maint-0.4.4

Update geoip files to match ipfire location db, 2021/04/13.

Merge branch 'maint-0.4.4' into release-0.4.4

channel: Fix use after free in channel_do_open_actions()

Fortunately, our tor_free() is setting the variable to NULL after so we were
in a situation where NULL was always used instead of the transport name.

This first appeared in 894ff2dc8422cb86312c512698acd76476224f87 and results in
basically no bridge with a transport being able to use DoS defenses.

Fixes #40345

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.4' into release-0.4.4

Bump version to 0.4.4.8-dev

Merge branch 'maint-0.3.5' into maint-0.4.4

"ours" to avoid version bump.

Bump to 0.3.5.14-dev

Copy 0.4.4.8 changelog to releasenotes

changelog updates from arma

Merge branch 'maint-0.4.4' into release-0.4.4

Remove check-best-practices from check-local in 0.4.4

Changelog for 0.4.4.8.

Merge branch 'maint-0.3.5' into maint-0.4.4

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'bug40316_035_v2' into maint-0.3.5

Fix detection of point to insert signatures on a pending consensus.

We were looking for the first instance of "directory-signature "
when instead the correct behavior is to look for the first instance
of "directory-signature " at the start of a line.

Unfortunately, this can be exploited as to crash authorities while
they're voting.

Fixes #40316; bugfix on 0.2.2.4-alpha.  This is TROVE-2021-002,
also tracked as CVE-2021-28090.

Merge branch 'maint-0.3.5' into maint-0.4.4

Merge branch 'maint-0.4.4' into release-0.4.4

Clarify new intended strategy with TROVE-2021-001

We're going to disable this feature in all versions for now.

Merge branch 'maint-0.3.5' into maint-0.4.4

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'bug40286_disable_min_035' into maint-0.3.5

Merge branch 'maint-0.4.4' into release-0.4.4

Bump to 0.4.4.8

Merge branch 'maint-0.3.5' into maint-0.4.4

"ours" to avoid version bump.

Bump to 0.3.5.14

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'maint-0.3.5' into maint-0.4.4

Remove maxmind license; add ipfire location database license (cc by-sa 4.0)

Use the right ticket number.

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'maint-0.3.5' into maint-0.4.4

update geoip-2021-03-12 to mention provider transition.

Update geoip files to match ipfire location db, 2021/03/12.

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'maint-0.3.5' into maint-0.4.4

Remove mallinfo() from codebase

Now deprecated in libc >= 2.33

Closes #40309

Signed-off-by: David Goulet <dgoulet@torproject.org>

Remove mallinfo() from codebase

Now deprecated in libc >= 2.33

Closes #40309

Signed-off-by: David Goulet <dgoulet@torproject.org>

Disable the dump_desc() function.

It can be called with strings that should have been
length-delimited, but which in fact are not.  This can cause a
CPU-DoS bug or, in a worse case, a crash.

Since this function isn't essential, the best solution for older
Tors is to just turn it off.

Fixes bug 40286; bugfix on 0.2.2.1-alpha when dump_desc() was
introduced.

Merge branch 'maint-0.4.4' into release-0.4.4

Delete changes/40241_v2 as it breaks CI.

Unreviewed build fix. Discussed the cnage on IRC with Nick.

Merge branch 'maint-0.4.4' into release-0.4.4

Fix CI build: practracker error in connection_edge.c, take two.

This was a bad copy and paste error from the previous commit which
generated a duplicated entry error from practracker.

Unreviewed build fix.

See: tor#40275.

Merge branch 'maint-0.4.4' into release-0.4.4

Fix CI build: practracker error in connection_edge.c.

We solve this error by allowing the connection_exit_connect() function
to be 130 lines long.

Unreviewed build fix commit.

See: tor#40275.

Fix Windows build.

While trying to resolve our CI issues, the Windows build broke with an
unused function error:

   src/test/test_switch_id.c:37:1: error: ‘unprivileged_port_range_start’
   defined but not used [-Werror=unused-function]

We solve this by moving the `#if !defined(_WIN32)` test above the
`unprivileged_port_range_start()` function defintion such that it is
included in its body.

This is an unreviewed commit.

See: tor#40275

Merge branch 'maint-0.4.4' into release-0.4.4

Merge branch 'tor-gitlab/mr/292_squashed' into maint-0.4.4