Better words in comment

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Make version number in rust lib confirm to Rust specifics

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16374 from miodvallat/dumansw

auth dumresp: fix fd leak

Be sure to not leak a socket if tcpConnectionHandler() throws.

Fixes: #16365
Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16367 from pieterlexis/dnsdist-aarch-ifdef

fix(dnsdist): Fix builds on aarch64

fix(dnsdist): Fix builds on aarch64

Merge pull request #16352 from miodvallat/cecity

api: relax zone name check in view removal

On second thought, relax the zone check for the view add operation too.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Fix buglet which only caused a warning during tests.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Relax zone checks when removing a zone from a view.

It's ok for the zone to no longer exist at this point.

Fixes: #16351
Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16342 from omoerbeek/rec-prep-sec-2025-06

rec: Prep for Security Release 2025-06

Merge pull request #16338 from omoerbeek/rec-delegation-accept

rec: tighten delegation accept

Merge pull request #16333 from Habbie/dnsdist-reg-lua-function-nil

regression-tests.dnsdist: detect function absence and report it better

Merge pull request #16321 from pieterlexis/dnsdist-ipcrypt2-aarch64

dnsdist: fix building ipcrypt2 on aarch64

Tidy

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Prep for Security Release 2025-06

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

More strict validation of the relation between qname, rname and authname for NS records

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Don't cache non-auth rrsets if a Bogus rrset was found in the answer

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Check to see if authoritative NS and/or address records are usable

In the typical case we deal with non-authoritative records here, but
we *might* have them in cache authoritatively.

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

rec: be more strict accepting delegations

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16294 from jsoref/fix-workflow-errors

Fix workflow errors

Merge pull request #16337 from zeha/rmgetline

Drop Socket::getline

Merge pull request #16306 from miodvallat/bacf

auth: attempt at technical debt reduction in RFC2136 code

Merge pull request #16287 from DeyanSG/cache_cleaning_race_fix

authoritative: Prevent a potential race condition in cache cleaning

Merge pull request #16293 from miodvallat/ujson

ext/json: sync with upstream

Merge pull request #16334 from Habbie/top-of-the-pops

luawrapper: correct lua_pop argument

Drop Socket::getline

Signed-off-by: Chris Hofstaedtler <chris.hofstaedtler@deduktiva.com>

luawrapper: correct lua_pop argument

a negative argument to _pop has defined behaviour but never
does what the user expects.

Note that none of this matters as Lua will adjust the stack to
the 1 top item, which is the pushed boolean, after `return 1`

but I get confused every time I read the negative version

Signed-off-by: Peter van Dijk <peter.van.dijk@powerdns.com>

regression-tests.dnsdist: detect function absence and report it better

Merge pull request #16307 from omoerbeek/print-features

rec: explicit disabling/enabling of tls-gnutls for full and least configs and packages

chore(dnsdist): disable ipcrypt2 in minimal builds

feat(dnsdist): Make IPCrypt2 optional

fix(dnsdist): Detect compiler support for ipcrypt on aarch64

The `uint64x2_t` type is not supported for several functions in older
versions of the `arm_neon.h` header (e.g. GCC 13, 14).

Merge pull request #16323 from romeroalx/add-npm-swagger-actions

gh actions: add npm package for swagger test

gh actions: add npm package for swagger test

Merge pull request #16284 from rgacogne/ddist-add-test-for-suffix-match-from-yaml

dnsdist: Add a regression test for suffix-match dynamic block from YAML

Also enabled tls-openssl in debian rules

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16259 from omoerbeek/auth-rec-lua-meson

auth and rec: Allow selecting a specific version of Lua with meson

Also handle tls-libssl explicitly, as noted by @zeha

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16308 from omoerbeek/coverity-20251020

rec: Fix a few Coverity found issues, all low severity move optimizations

Merge pull request #16071 from karelbilek/kb/connectx_fastopen

dnsdist: add support for TCP Fast Open for downstream connections on macOS

Merge pull request #16292 from rgacogne/ddist-fix-query-rules-tag-from-dynamic-block

dnsdist: Fix query rules bypass after tagging from a dynblock

Merge pull request #16214 from rgacogne/ddist-ffi-alternate-name

dnsdist: Refactor the FFI "alternate name" interface

Merge pull request #16181 from rgacogne/ci-add-daily-rust-audit

Add a daily workflow to run `cargo audit` against our Rust deps

rec: Fix a few Coverity found issues, all low severity move optimizations

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16298 from Habbie/rec-el-gnutls

recursor el-* build: depend on gnutls

Merge pull request #16297 from Habbie/podman-rec-rust-copy

rec builder: don't try to copy rust files that are not there

Copyright'r'us

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

More Clang-Tidyze™

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Handle NSEC3PARAM updates earlier to simplify logic.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Rework the RFC2136 for readability.

Features:
- split performUpdate in smaller parts.
- define and carry a "context" struct rather than MAXINT in-out arguments being
  passed by reference.

Apply a round of Clang-Tidyze™

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16288 from rgacogne/rec-cache-cleaning-order

rec: Prevent a potential race condition in cache cleaning

Merge pull request #16190 from omoerbeek/rec-more-ottracing

rec: OT tracing: define more Spans with actual duration and add more attributes

rec: explicit disabling/enabling of tls-gnutls for full and least configs and packages

Includes more complete --version feature printing

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

authoritative: Prevent a potential race condition in cache cleaning

Clean query cache before cleaning packet cache. Otherwise the following
situation is possible:

* thread A cleans packet cache
* thread B answers a question for the same name that is being cleaned by A
* since there is no packet cache it populates a packet cache entry from the
  query cache (which has not yet been cleaned by thread A
* thread A cleans query cache
* the server will return the old packet cache entry until its TTL expires or
  cache is cleaned again

Switching which cache is cleaned first fixes this race condition.

Signed-off-by: Deyan Doychev <deyan@siteground.com>

Appease clang-tidy.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

recursor el-* build: depend on gnutls

Signed-off-by: Peter van Dijk <peter.van.dijk@powerdns.com>

rec builder: don't try to copy rust files that are not there

Signed-off-by: Peter van Dijk <peter.van.dijk@powerdns.com>

Pick a single branch for workflows that should not run

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

Properly declare empty permissions

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

Bring some bugfixes from upstream (dropbox/json11).

- change Json map/vector conversions to invoke begin() directly instead of
  using key_type/value_type/mapped_type, to prevent false positives with
  std::optional, which has a value_type member type, but is not a container
  (ec4e45219af1d7cde3d58b49ed762376fccf1ace)

- make has_shape() return true for NUL type only if element actually exists
  (e2e3a11e99672b018e0e0657867e6a3439e180cf)

- improve handling of errors in comments
  (3bafee93e6d587d5bc6ef362c3e4457688e0ed5b)

- make operator== and operator< faster by checking for node identity
  (dabb88e83ebd6d5ef765864ec6d77bb4451c115e,
   42e6e71abb460e06c83a8f17c02e9bdf7959d2e7)

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

dnsdist: Fix query rules bypass after tagging from a dynblock

In 2.0.0 we introduced the ability to set a tag when a dynamic
block matches, making it possible to combine dynamic blocks with
existing rules. Unfortunately the implementation turned out to
bypass query rules after setting a tag, so the mechanism could
only be used with the remaining rules chains (cache hit, cache-miss,
cache inserted, self-answered and regular response rules).
This commit fixes that to ensure that we can use tags with query
rules as well.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16291 from pieterlexis/dnsdist-ot-tcp

dnsdist: Fix delayed OT sending for TCP queries

Merge pull request #16289 from pieterlexis/fix-OT-kind

Fix OpenTelemetry Trace names for Span Kinds

Merge pull request #16290 from pieterlexis/dnsdist-ot-improve-parenting

fix(dnsdist): Improve OT parenting

tests(dnsdist): Add TCP query OT tests

fix(dnsdist): Add `delay` option to `RemoteLogResponseAction`

This matches the behaviour of the YAML config.

tests(dnsdist): Add OT Trace delayed PB test

feat(dnsdist): Also send delayed protobuf for TCP queries

This commit makes some changes to how delayed messages are sent. We now
store the raw, serialized DNSMessage protobuf data in the id-state
object when a send delay is needed.

When the delayed protobuf has to be sent, we generate the OpenTelemetry
Trace data and append it to the message to be sent.

feat(dnsdist): Add OT trace span for TCP queries

fix(dnsdist): Improve OT parenting

fix(OT): correctly name the SpanKinds

fix(dnsdist): Set SpanKind::Server for every span

Merge pull request #16285 from rgacogne/ddist-rings-dnsname-lock

dnsdist: Make inserting to the in-memory rings a bit faster

Merge pull request #16230 from Habbie/double_fault

luawrapper: don't segfault on failure in traceback handler

rec: Prevent a potential race condition in cache cleaning

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Make inserting to the in-memory rings a bit faster

This commit moves the allocation and copy of the DNS name before
taking the lock, reducing contention. In completely unrealistic
benchmarks this makes the insertion ~10% faster.
Ideally I would rather move the existing `DNSName` instead of allocating
a new one, as we are usually done with it by the point we insert
into the rings, but this involves a lot of changes so let's start
with this.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Add a regression test for suffix-match dynamic block from YAML

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16281 from rgacogne/ddist-fix-build-protobuf

dnsdist: Fix build error when only protobuf is enabled

dnsdist: Fix build error when only protobuf is enabled

The build fails with:
```
../dnsdist-protobuf.cc: In member function ‘void DNSDistProtoBufMessage::serialize(std::string&) const’:
../dnsdist-protobuf.cc:205:7: error: ‘vinfolog’ was not declared in this scope
  205 |       vinfolog("Error while parsing the RRs from a response packet to add them to the protobuf message: %s", exp.what());
      |       ^~~~~~~~
```
because of a missing header.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16265 from rgacogne/warn-release-workflows

Warn about workflows that needs to be backported to release branches

Merge pull request #16252 from miodvallat/4910

auth-4.9.10 secpoll and changelog

Warn about workflows that needs to be backported to release branches

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Add allow non-default argument name

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16182 from pieterlexis/dnsdist-ot-tracing

dnsdist: Add OpenTelemetry Tracing support

Merge pull request #16262 from pieterlexis/auth-nsec3-salt-bcp

feat(pdnsutil): Warn when NSEC3 iterations or salt are non-BCP

Merge pull request #16260 from rgacogne/ddist-coverity-490492

dnsdist: Fix a performance inefficiency reported by Coverity

auth-4.9.{10,11} secpoll and changelog

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16232 from omoerbeek/rec-dot-verify

rec: Allow ability to validate certificates (and more) for outgoing DoT connections

feat(pdnsutil): Warn when NSEC3 iterations or salt are non-BCP

Closes: #16212

chore(dnsdist): Improve InternalQueryState field ordering

tests(dnsdist): make clang++ happy with OT tests

feat(dnsdist): Add delay option to RemoteLogResponseAction

fix(dnsdist): make the rootspan the parent of processResponse

feat(dnsdist): Add Query info to the root span

feat(dnsdist): add hostname and version to scopespan

feat(dnsdist): Add Span Kind to Spans and add a name to ScopeSpan

docs(dnsdist): Add missing OT tracing functions

fix(dnsdist): Move OT query information into the scope span

Signed-off-by: Pieter Lexis <pieter.lexis@powerdns.com>