Changelog entry for #1352:
- Merge #1352 from Petr Vaganov: pythonmod: fix HANDLE_LEAK on
  pythonmod_init.

Merge pull request #1352 from petrvaganoff/dev-52227

pythonmod: fix HANDLE_LEAK on pythonmod_init

pythonmod: fix HANDLE_LEAK on pythonmod_init

Found by the static analyzer Svace (ISP RAS).

Handle 'script_py' is created at pythonmod.c:436
by calling function 'fopen' and lost at pythonmod.c:457,465.

Signed-off-by: Petr Vaganov <petrvaganoff@gmail.com>

- unbound.conf manpage: explicitly mention RFC6891.

Changelog entry for #1337:
- Merge #1337: 0 TTL cached replies and some TTL behavior changes.

Merge branch 'features/no-ttl-zero-cacherep'

- Update README.man with clearer text.

- Fix to remove configure~ from release tarballs.

- Tag for 1.24.0 release. Includes the fixes below after rc1.
  The repository continues with version 1.24.1.

code review: use proper roundrobin index

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- Too many quotes for the EDE message debug printout.

- Fix to print warning for when so-sndbuf setsockopt is not granted.

- Small debug output improvement when attaching an EDE.

A few changes for TTL processing:
- Cached messages that reach 0 TTL are considered expired. This prevents
  Unbound itself from issuing replies with TTL 0 and possibly causing a
  thundering herd at the last second. Upstream replies of TTL 0 still
  get the usual pass-through but they are not considered for caching
  from Unbound or any of its caching modules.
- 'serve-expired-reply-ttl' is changed and is now capped by the original
  TTL value of the record to try and make some sense when replying
  with expired records.
- TTL decoding was updated to adhere to RFC8767 section 4 where a set
  high-order bit means the value is positive instead of 0.

Merge branch 'master' into features/no-ttl-zero-cacherep

- Update contrib/aaaa-filter-iterator.patch so it applies on 1.24.0.

- version set to 1.24.0 for release.
- tag for 1.24.0rc1.

- Fix #1332: CNAME chains are sometimes not followed when RPZs add a
  local CNAME rewrite.

- Update man pages.

- Update documentation for using "SET ... EX" in Redis.
- Document max buffer sizes for Redis commands.

- For #1328: make depend.

- Fix indentation in tcp-mss option parsing.

- Fix #1324: Memory leak in 'msgparse.c' in
  'parse_edns_options_from_query(...)'.

- Fix #1235: Outdated Python2 code in
  unbound/pythonmod/examples/log.py.

- Fix for #1324: Fix to free edns options scratch in ratelimit case.

- Limit the number of consecutive reads on an HTTP/2 session.
  Thanks to Gal Bar Nahum for exposing the possibility of infinite
  reads on the session.

- Fix setup_listen_sslctx warning for nettle compile.

- Fix unbound-control dump_cache for double unlock of lruhash table.
Changelog entry.

- Fix unbound-control dump_cache for double unlock of lruhash table.

- Fix ports workflow to install expat for macos.

- Fix that the zone acquired timestamp is set after the
  zonefile is read.

- Fix #1319: [FR] zone status for Unbound auth-zones.

- Fix sha1 enable environment variable in test code on windows.

- For #1318: Fix compile warnings for DoH compile on windows.

- Fix for #1317: Fix contrib/unbound.service comment path for
  systemd network configuration.

- Fix #1317: Unbound starts too early. Add
  Wants=network-online.target under [Unit] in unbound.service.

- Fix to check for extraneous command arguments for unbound-control,
  when the command takes no arguments but there are arguments present.
Changelog note for the fix.

- Fix to check for extraneous command arguments for unbound-control,
  when the command takes no arguments but there are arguments present.

- Fix cache_lookup subnet print to not print messages without rrsets
  and perform in-depth check on node in the addrtree.

- Fix cache_lookup subnet print to not print messages without rrsets
  and perform in-depth check on node in the addrtree.

- Fix cache_lookup subnet printout to wipe zero part of the prefix.
Changelog entry.

- Fix cache_lookup subnet printout to wipe zero part of the prefix.

- unbound-control cache_lookup +t allows tld and root names. And
  subnet cache contents are printed.
Changelog, documentation and unit test.

- unbound-control cache_lookup +t allows tld and root names. And
  subnet cache contents are printed.

- Fix to decouple file descriptor activity and cache lookups in
  dump_cache.
Changelog note.

- Fix to decouple file descriptor activity and cache lookups in
  dump_cache.

- Fix to increase responsiveness of dump_cache.

- Fix to unlock cache_lookup message for malformed records.

- Fix to remove debug from cache_lookup.

- unbound-control cache_lookup <domains> prints the cached rrsets
  and messages for those.
Changelog and information.

- unbound-control cache_lookup <domains> prints the cached rrsets
  and messages for those.

- Fix that unbound-control dump_cache releases the cache locks
  every so often, so that the server stays responsive.
Changelog entry for it.

- Fix that unbound-control dump_cache releases the cache locks
  every so often, so that the server stays responsive.

- Fix to whitespace in dname_str.

- Fix that edns-subnet failure to create a subquery errors as
  servfail, and not formerror.

- Fix dname_str for printout of long names. Thanks to Jan Komissar
  for the fix.

- Fix edns subnet, so that the subquery without subnet is stored in
  global cache if the querier used 0.0.0.0/0 and the name and address
  do not receive subnet treatment. If the name and address are
  configured for subnet, it is stored in the subnet cache.

- Fix edns subnet, so that the subquery without subnet is stored in
  global cache if the querier used 0.0.0.0/0 and the name and address
  do not receive subnet treatment. If the name and address are
  configured for subnet, it is stored in the subnet cache.

- Fix to use assertions for consistency checks in #1309 reclaimed

- Fix #1309: incorrectly reclaimed tcp handler can cause data
  corruption and segfault.

- Fix testbound test program to accurately output packets from hex.

- Fix redis cachedb module gettimeofday init failure.
Changelog note for the fix.

- Fix redis cachedb module gettimeofday init failure.

- Redis checks for server down and throttles reconnects.
And unit test for redis reconnect interval.

- Redis checks for server down and throttles reconnects.

- iana portlist updated.

- Fix #1303: [FR] Disable TLSv1.2.

- Fix to not set rlimits in the unit tests.

- Add unit tests for non-ecs aggregation.

- Fix for RebirthDay Attack CVE-2025-5994, reported by Xiang Li
  from AOSP Lab Nankai University.
- Tag for 1.23.1 with the release of 1.23.0 and the CVE fix, the
  repository continues with the previous fixes, with 1.23.2.

Merge branch 'branch-1.23.1'

- Fix RebirthDay Attack CVE-2025-5994, reported by Xiang Li from AOSP
  Lab Nankai University.

- Set version to 1.23.1.

- Update man page templates from rst.

- For #1289: add num.valops in the unbound-control man page.

- For #1289: test num.valops in existing stat_values.tdir.

Changelog entry for #1289:
- Merge #1289 from Roland van Rijswijk-Deij: Add extra statistic to
  track the number of signature validation operations.
  Adds 'num.valops' to extended statistics.

Add extra statistic to track the number of signature validation operations (#1289)

* Add extra statistic to track the number of signature validation operations performed by the validator module

* Move validation operation statistic to mesh as suggested

* Fix NULL pointer dereference in case the mesh is not used (and is `NULL`)

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>
* Fix NULL pointer dereference on qstate and qstate->env in unit test situation

---------

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- For #1301: configure cant find SSL_is_quic in OpenSSL 3.5.1.

- Fix detection of SSL_CTX_set_tmp_ecdh function.

- Fix to improve dnstap discovery on Fedora.

- Fix layout of comm_point_udp_ancil_callback.

- For #1300: implement sock-queue-timeout for FreeBSD as well.

- Fix #1300: Is 'sock-queue-timeout' a linux only feature.

Changelog note for #1299
- Generate ltmain.sh and configure again.

Fix typos (#1299)

- For #1247, replay test (added tcp_transport to
  outnet_serviced_query).

- For #1247, turn off fetch-policy for delegation when looking into
  parent side name servers that may not update the addresses and hit
  NXNS limits.

- Fix #1247: forward-first: ssl handshake failed on root nameservers.

Changelog entry for #1293:
- Fix #1293: EDE 6 is attached to insecure cached answers when client
  sends the CD bit.

- Fix #1293: EDE 6 is attached to insecure cached answers when client sends
  the CD bit.

- Fix rrset cache create allocation failure case.

Changelog note for #1297
- Merge #1297: edns-subnet: fix NULL_AFTER_DEREF on subnetmod.

edns-subnet: fix NULL_AFTER_DEREF on subnetmod (#1297)

Found by static analyzer svace.
Static analyzer message: Redundant comparison with a NULL value at subnetmod.c:236 for pointer 'sn_env->subnet_msg_cache',
which was dereferenced at slabhash.c:228 by passing as 1st parameter to function 'slabhash_setmarkdel' at subnetmod.c:235.

Moved usage of sn_env->subnet_msg_cache in slabhash_setmarkdel after checking.

Signed-off-by: Konstantin Kamanin <bewflast@gmail.com>

- Fix #1296: DNS over QUIC depends on a very outdated version of
  ngtcp2. Fixed so it works with ngtcp2 1.13.0 and OpenSSL 3.5.0.

- Fix for consistent use of local zone CNAME alias for configured auth
  zones. Now it also applies to downstream configured auth zones.

- Fix #1295: Windows 32-bit binaries download seems to be missing dll
  dependency.

- Fix to check control-interface addresses in unbound-checkconf.

- Fix header return value description for skip_pkt_rrs and
  parse_edns_from_query_pkt.

- Fix conditional expressions with parentheses for bitwise and.