Merge pull request #4246 from rgacogne/dnsdist-api-array-pools

dnsdist: API now sends pools as a JSON array instead of a string

Merge pull request #4056 from zeha/openssl11

OpenSSL 1.1.0 support

More changelog fixes

Update changelog with one more entry

Merge pull request #4252 from rgacogne/auth-bind-include-length

auth: Don't include bind files if length <= 2 or > sizeof(filename)

Merge pull request #4241 from pieterlexis/401-changelog

4.0.1 changelog, docs and secpoll

Add 4.0.1 to secpoll

Add some docs on new ComboAddress features in Lua

Add Upgrade Notes for the recursor

Add auth 4.0.1 changelog

Add recursor 4.0.1 changelog entries

opensslsigners: use libcrypto access functions

opensslsigners: remove thread/locking setup, not needed in openssl 1.1 anymore

dns_random: Use CRYPTO_ctr128_encrypt when available

As AES_ctr128_encrypt is removed in OpenSSL 1.1.0.

Add PDNS_CHECK_LIBCRYPTO based on AX_CHECK_OPENSSL

This detects libcrypto for OpenSSL 0.9.8, 1.0 and 1.1.

Furthermore, curve detection appeared broken on Arch Linux, this is fixed
with the addition of PDNS_CHECK_LIBCRYPTO_ECDSA, without breaking on Debian
Jessie, Ubuntu Trusty, Wily and Xenial and CentOS 5 through 7.

Merge pull request #4255 from pieterlexis/stl-error-on-broken-soa

Auth: catch runtime_error when parsing a broken MNAME

Merge pull request #4207 from pieterlexis/multiple-DS-per-name

Change DS config items to dsmap_t

Change dsmap_t to a set to prevent duplicates

Change DS config items to dsmap_t

Ensure that addTA() appends the DS.

test-algorithms: check public key can be reloaded

opensslsigners: mark member overrides

Fixes warnings from clang.

Auth: PDNSException for bad SOA MNAME or RNAME

This prevents blowing up the bind backend on startup when one zone
contains a bad SOA record.

Merge pull request #4242 from rgacogne/fix-protobuf-todebugstring-4240

Fix `DNSProtoBufMessage::toDebugString()` without protobuf support

Merge pull request #4245 from mind04/nsec

direct nsec nxdomain

Merge pull request #4250 from mind04/tologstring

use toLogString() for ringAccount

use toLogString() for ringAccount

Merge pull request #4247 from pieterlexis/fail-on-missing-components

Autoconf improvements

Merge pull request #4222 from aj-gh/fix-doc-timedout-packets

Correct wrong statistics counter name in docs

Merge pull request #4243 from pieterlexis/toString-in-current-queries

Recursor: Fix a possible crash

dnsdist: we don't use boost::foreach anymore

Auth: Fail configure on missing boost components

Prevents issues like #4239

test response for non existent direct nsec queries

dnsdist: API now sends pools as a JSON array instead of a string

don't send covering nsec records for direct nsec queries

Recursor: Fix a possible crash

When the parser creates empty DNSNames (for whatever reason) and
`rec_control current-queries` is run, the process would abort because it
tried to print an empty DNSName.

Merge pull request #4214 from rgacogne/auth-supermaster-proxy-ecs

auth: Trust EDNS Client Subnet from a trusted notification proxy

Merge pull request #4210 from pieterlexis/rec-secpoll-validate

Validate DNSSEC for secpoll.powerdns.com

Fix `DNSProtoBufMessage::toDebugString()` without protobuf support

Fixes #4240.

Merge pull request #4183 from hnsk/pdnsutil-always-diff

pdnsutil: Remove checking of ctime and always diff the changes.

Merge pull request #4206 from rgacogne/auth-psql-deallocate-4201

auth: Don't try to deallocate empty PG statements

Merge pull request #4126 from rgacogne/auth-carbon-freebsd

auth: Wait for the connection to the carbon server to be established

Merge pull request #4142 from mind04/fd-usage

add used filedescriptor statistics to auth

Merge pull request #4168 from cmouse/recursor-lua-netmask

Add more Netmask methods for recursor Lua

Merge pull request #4140 from James-TR/fix-include-sys-poll

resolver.cc: fix warnings with gcc on musl-libc

Merge pull request #4224 from mind04/regression

fix AXFR-SOURCE tests

auth: Don't include bind files if length < 2 or > sizeof(filename)

Merge pull request #4215 from rgacogne/rec-rpz-override-local

rec: RPZ default policy should also override local data RRs

grep out fd-usage metric in counters test

Merge pull request #4205 from rgacogne/dnsdist-downstream-any

dnsdist: Prevent the use of "any" addresses for downstream server

Merge pull request #4211 from pieterlexis/secpoll-400-unsupported

Secpoll: Set 4.0.0 pre-releases to "upgrade now"

Merge pull request #4221 from Habbie/no-clobber-erno

save errno before we clobber it

Merge pull request #4217 from ahupowerdns/nxtrust

turn on root-nx-trust by default and log-common-errors=off, and document that

fix AXFR-SOURCE tests

clarify root-nx-trust by explicitly setting it to yes

turn off the logging of common errors by default. In high traffic situations with synchronous logging, this is dangerous.

Merge pull request #4220 from rgacogne/dnsdist-no-error-parsing-udp-query

dnsdist: Don't log an error when parsing an invalid UDP query

Correct wrong statistics counter name in docs

Merge pull request #4164 from pieterlexis/fail-on-lua-dns-script-missing

Fail on startup when lua-dns-script doesn't exist

Merge pull request #4192 from Habbie/dnsreplay-nostamp

only ecs-stamp when asked for

Merge pull request #4152 from zeha/test-doubleeq

Use single equal sign when calling test(1)

save errno before we clobber it

dnsdist: Don't log an error when parsing an invalid UDP query

It can still be displayed in verbose mode, but we don't want to
flood our logs for this.

turn on root-nx-trust by default, and document that

Merge pull request #4119 from mind04/recursor

rec: improve dnssec record skipping for non dnssec queries

Merge pull request #4114 from rgacogne/dnsdist-labelscount-rule

dnsdist: Add `QNameLabelsCountRule()` and `QNameWireLengthRule()`

Merge pull request #4133 from rgacogne/issue-4128

Add limits to the size of received {A,I}XFR, in megabytes

Merge pull request #4213 from pieterlexis/tinydns-for-centos

Create tinydns backend packages for CentOS 7

Merge pull request #4212 from pieterlexis/pgp-key

Add PGP key to tarball signers

auth: Trust EDNS Client Subnet from a trusted notification proxy

This allows for example the use of dnsdist in front of supermaster
slaves.
dnsdist must be configured to send ECS to the backend with:
* `useClientSubnet=true` on the corresponding `newServer()`
* `setECSSourcePrefixV4(32)` and/or `setECSSourcePrefixV6(128)` so
the exact source is sent to the slave
* `setECSOverride(true)` so that any existing ECS information is
overridden

In addition, pdns must be configured to accept notification from
dnsdist with `trusted-notification-proxy` and to process ECS with
`edns-subnet-processing=yes`.

rec: RPZ default policy should also override local data RRs

Add PGP key to tarball signers

Create tinydns backend packages for CentOS 7

Secpoll: Set 4.0.0 pre-releases to "upgrade now"

Rec: validate DNSSEC for secpoll.powerdns.com

Merge pull request #4044 from cmouse/dnspacket-comboaddr

Dnspacket comboaddr

Merge pull request #4187 from pieterlexis/bogus-island-of-trust

Two more DNSSEC fixes

resolver.cc: fix warnings with gcc on musl-libc

resolver.cc makes an incorrect include directive of `poll.h`. The
correct syntax for inclusion, according to `man 2 poll` is:

`#include <poll.h>`

This commit prevents warnings from being displayed due to going through
musl-libc's compatibility wrappers

auth: Don't try to deallocate empty PG statements

When a SPgSQLStatement is released without having been prepared,
we execute an invalid 'DEALLOCATE ' SQL command. This might happen
if the statement has not been used before being destroyed, for example.

dnsdist: Prevent the use of "any" addresses for downstream server

Otherwise the corresponding `DownstreamState`'s FD is -1 (needed
for 'client' mode) and we loop endlessly on `recvfrom()` returning -1.
Reported by Sander Smeenk.

Add changelog entry

Validate all key paths on possible Insecure

Before, we only checked the first QName, now we go through every name we
have to verify that the answer is indeed insecure.

Do not follow CNAMEs when hunting for DS records

This fixes the CNAME at apex bogus

Don't go bogus on CNAMEs to islands of security

Closes #4181

Incidentally, this commit also ensures that we no longer 'jojo' between
Secure and Insecure states. Once we have an Insecure, we can only go
Bogus but not Secure.

Compress 3 lines into 1

Add test for island of security (#4181)

only ecs-stamp when asked for

Add missing DNSSEC trace message

Merge pull request #4178 from pieterlexis/qtype-to-dnssec-trace

Add QType to log output for DNSSEC trace

Merge pull request #4162 from pieterlexis/post-400-dnssec-fixes

Recursor 4.0.0 DNSSEC fixes

Merge pull request #4166 from Habbie/cleanup

Cleanup

Merge pull request #4154 from setharnold/patch-3

small doc fixes

pdnsutil: Remove checking of ctime and always diff the changes. Exit if no changes are found.

Add changelog entries

Add test for #4158

Skip a level when a CNAME is found for the name

If we'd encounter a CNAME when chasing for DS/DNSKEY, we followed it and
concluded that the domain was bogus. We now skip this level and try to
get a DS record for the next name.

I'm unsure this is the correct solution, but it fixes #4158

Add tests for out of band names

Don't validate internal or out-of-band names

Closes #4149
Closes #4156
Closes #4157

Fix filename to match test names

Use g_dnssecmode global instead of the slower arg()

Merge pull request #4169 from zeha/typo

Fix typos found by lintian