- Fix http2 drop handling to clear the postpone_drop state so that
  other streams on the http2 session are not affected by a drop,
  and can clean up properly if also dropped. Fix http2 send reply
  so that when there is a send failure is does not recurse into
  the mesh functions and also does not drop the connection due to
  the condition of one stream.

- Fix to remove http2 stream mesh state when mesh new request is
  dropping the new request.

- Fix header comment about EDE reference in validator/val_sigcrypt.h.

- Fix to add EDNS CO flag to testbound and debug message log.

- For #1375, there is no DNSTAP environment if it wasn't configured.

- Tag for 1.24.2 release.
  The repository continues with version 1.24.3.

Merge branch 'branch-1.24.2'

- Additional fix for CVE-2025-11411 (possible domain hijacking attack),
  to include YXDOMAIN and non-referral nodata answers in the mitigation as
  well, reported by TaoFei Guo from Peking University, Yang Luo and JianJun
  Chen from Tsinghua University.

- Set version to 1.24.2.

Changelog note for #1375, and lock for lockchecks and ifdef for compile fix.
- Merge #1375: Copy DNSTAP changes from daemon to workers after
  fast_reload.

Copy DNSTAP changes from daemon to workers after fast_reload (#1375)

- On fast_reload, the identity and version strings are always freed and
  reallocated as part of dt_apply_cfg(). Add fr_worker_pickup_dnstap_changes()
  to copy any changes from daemon to workers.

Changelog note for #1374
- Merge #1374: Mesh reply counters.
  This adds the statistics num.queries.replyaddr_limit and
  requestlist.current.replies.

Mesh reply counters (#1374)

* Statistics counter for number of queries dropped by limit on reply addresses

Request list entries can be associated with multiple pending "reply
addresses". Basically each request list entry keeps its own list of
clients that should receive the response once the recursion is finished.
This requires keeping allocations around for each client, and there is
a global limit on the number of *additional* reply addresses that can
be allocated. (Each new request list entry seems to get its own initial
reply address which is not counted against the limit.)

This commit adds a statistics counter "num_queries_replyaddr_limit" that
counts the number of incoming client queries that have been dropped due
to the restriction on allocating additional reply addresses. This allows
distinguishing these drops from other kinds of drops.

* Statistics counter for number of mesh reply entries

Request list entries can be associated with multiple pending "reply
addresses". Since there is a limit on the number of additional reply
addresses that can be allocated which can cause incoming queries to be
dropped if exceeded, it would be nice to be able to track this number.

This commit basically exports the mesh_area's internal counter
`num_reply_addrs` as "threadX.requestlist.current.replies" /
"total.requestlist.current.replies".

- iana portlist updated.

- Fix that when discard timeout drops packet, they are accounted as
  less reply addresses in use in the mesh area.

- Fix configure test for nonstring attribute so that it does not
  accept when the compiler prints a warning about an unknown
  attribute.

- Fix configure test for noreturn attribute so it compiles without
  warning.

- Fix add comment to worker_handle_request function that explain it.

- Fix dns64 log output to log the default instead of a null string.

- Fix #1366: Infra cache does not work correctly for NAT64, by
  moving the NAT64 synthesis from the iterator when selecting a target
  address, to the delegation point itself when adding target
  addresses.

- Fix typo; spotted by T3rm1.

- Fix #1165, document the possible circular dependency when using
  host names instead of IP addresses for name servers in stub/forward
  zones and log a warning when spotted in the configuration.

Changelog entry for #1331:
- Merge #1331 from Jitka Plesníková: Replace deprecated $function by
  new $action, for SWIG.

Merge pull request #1331 from jplesnik/master

Replace deprecated $function by new $action

- For #1364, use OPENSSL_VERSION_TEXT instead of OPENSSL_VERSION_NUMBER
  for part of the configure script. OPENSSL_VERSION_TEXT is more
  consistent across versions.

- Fix unused attribute warning in redis.c when threads are not
  supported.

- Note Havard Eidnes for his suggestions on the mailing list.

- unbound.conf man page updates to include a preview of the section
  clauses and some reformatting around the use of "clause", "option"
  and "attributes".

- Tag for 1.24.1 release.
  The repository continues with version 1.24.2.

Merge branch 'branch-1.24.1'

- Fix CVE-2025-11411 (possible domain hijacking attack), reported by Yuxiao Wu,
  Yunyi Zhang, Baojun Liu and Haixin Duan from Tsinghua University.

- Set version to 1.24.1.

- Update the unbound.conf online man page link and some text
  reformatting in README.md.

Fix for analysis and ports workflows iOS, Windows (#1361)

* - Remove SDK_VERSION and only run failed jobs, echo windows config.log

* Use commented out to fix syntax of ci.

* - Turn off succeeded tests, only link libssp for cross compile, use
no-shared for openssl ios.

* - Remove iPhone armv7s, and iPhoneSimulator i386 from ios ci.
  The lib system does not provide symbols for it on the new macos
  runner.
- Fix to exclude libssp for windows compiles.

- Fix unbound.conf man page entry for root-hints to say it can
  be used without strongly recommending it.

- Remove extra gpg instructions from makedist.sh output.

- ci: don't fail fast for the analysis_port workflow.

Update ios ci with older sdk version to use.

- Fix to update openssl version in ios ci.

- Add extended dns error code for invalid query type to definition
  list.

- Fix to reply with SERVFAIL when the wait-limit is exceeded.

- Fix to drop UDP for discard-timeout, but not stream connections.

- Fix #1358 Enabling FIPS in OpenSSL causes unit test to fail.

- Note clearly that 'wait-limit: 0' disables all wait limits.
- 'wait-limit-cookie: 0' can now disable cookie validated wait
  limits.

- Note 'respip' and 'dns64' module order in the unbound.conf
  man page.

- Fix that https is set up as enabled when the port is listed in
  interface-automatic-ports. Also for the set up of quic it is
  enabled when listed there.

- Fix for #1344: Fix that respip and dns64 can be enabled at the
  same time, the client info is copied for attach_sub and add_sub
  calls. That makes respip work on dns64 synthesized answers, and
  also makes RPZ work with DNS64. The order for the modules is
  module-config: "respip dns64 validator iterator".

- Fix #1344: module conf 'respip dns64 validator cachedb iterator'
  is not known to work.

- Fix #1353: auth-zone can not use empty label for $ORIGIN when
  http download.

Changelog entry for #1351:
- Merge #1351: ac_cv_func_malloc_0_nonnull for malloc(0) check.

- Rebuild configure script from its sources.

ac_cv_func_malloc_0_nonnull for malloc(0) check (#1351)

- For #1339, use the standard variable ac_cv_func_malloc_0_nonnull for
  the malloc(0) check during configure; patch from Helmut Grohne.

Changelog entry for #1349:
- Merge #1349: Fix #1346: [FR] Please allow back TLS 1.2.

- Fix fr_atomic_copy_cfg.

Fix #1346: [FR] Please allow back TLS 1.2. (#1349)

* 'tls-use-system-policy-versions' is introduced to allow Unbound to use
  any system available TLS version when serving TLS.

* Apply suggestions from code review

---------

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- Neaten up the change in acx_nlnetlabs.m4 to version 49.

- Fix modstack_call_init to use the original string when it has
  changed, to call modstack_config with. And skip the changed name
  in the string correctly. Thanks to Jan Komissar.

- Rebuild configure script from its sources.

- Test for nonstring attribute in configure and add
  nonstring attribute annotations.

Update Mastodon shield

- Avoid calling mesh_detect_cycle_found() when there is no mesh state
  to begin with.

- For #1350, same CAP_NET_ADMIN change for unbound_portable.service.in
  as well.

Changelog entry for #1350:
- Merge #1350 from Maryse47: unbound.service.in: allow CAP_NET_ADMIN.

Merge pull request #1350 from Maryse47/patch-1

unbound.service.in: allow CAP_NET_ADMIN and drop CAP_NET_RAW (redundant now).

- For #1352, align with the current Python<3 code.

Changelog entry for #1352:
- Merge #1352 from Petr Vaganov: pythonmod: fix HANDLE_LEAK on
  pythonmod_init.

unbound.service.in: drop CAP_NET_RAW

CAP_NET_RAW is unnecessary after CAP_NET_ADMIN was added

Merge pull request #1352 from petrvaganoff/dev-52227

pythonmod: fix HANDLE_LEAK on pythonmod_init

pythonmod: fix HANDLE_LEAK on pythonmod_init

Found by the static analyzer Svace (ISP RAS).

Handle 'script_py' is created at pythonmod.c:436
by calling function 'fopen' and lost at pythonmod.c:457,465.

Signed-off-by: Petr Vaganov <petrvaganoff@gmail.com>

unbound.service.in: allow CAP_NET_ADMIN

Allowing CAP_NET_ADMIN is necessary for SO_SNDBUFFORCE and SO_RCVBUFFORCE calls.

- unbound.conf manpage: explicitly mention RFC6891.

Changelog entry for #1337:
- Merge #1337: 0 TTL cached replies and some TTL behavior changes.

Merge branch 'features/no-ttl-zero-cacherep'

- Update README.man with clearer text.

- Fix to remove configure~ from release tarballs.

- Tag for 1.24.0 release. Includes the fixes below after rc1.
  The repository continues with version 1.24.1.

code review: use proper roundrobin index

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- Too many quotes for the EDE message debug printout.

- Fix to print warning for when so-sndbuf setsockopt is not granted.

- Small debug output improvement when attaching an EDE.

A few changes for TTL processing:
- Cached messages that reach 0 TTL are considered expired. This prevents
  Unbound itself from issuing replies with TTL 0 and possibly causing a
  thundering herd at the last second. Upstream replies of TTL 0 still
  get the usual pass-through but they are not considered for caching
  from Unbound or any of its caching modules.
- 'serve-expired-reply-ttl' is changed and is now capped by the original
  TTL value of the record to try and make some sense when replying
  with expired records.
- TTL decoding was updated to adhere to RFC8767 section 4 where a set
  high-order bit means the value is positive instead of 0.

Merge branch 'master' into features/no-ttl-zero-cacherep

- Update contrib/aaaa-filter-iterator.patch so it applies on 1.24.0.

- version set to 1.24.0 for release.
- tag for 1.24.0rc1.

- Fix #1332: CNAME chains are sometimes not followed when RPZs add a
  local CNAME rewrite.

- Update man pages.

- Update documentation for using "SET ... EX" in Redis.
- Document max buffer sizes for Redis commands.

Replace deprecated $function by new $action

The long-deprecated $function was removed from future SWIG 4.4.0.
It can be safely replaced by $action.

- For #1328: make depend.

- Fix indentation in tcp-mss option parsing.

- Fix #1324: Memory leak in 'msgparse.c' in
  'parse_edns_options_from_query(...)'.

- Fix #1235: Outdated Python2 code in
  unbound/pythonmod/examples/log.py.

- Fix for #1324: Fix to free edns options scratch in ratelimit case.

- Limit the number of consecutive reads on an HTTP/2 session.
  Thanks to Gal Bar Nahum for exposing the possibility of infinite
  reads on the session.

- Fix setup_listen_sslctx warning for nettle compile.

- Fix unbound-control dump_cache for double unlock of lruhash table.
Changelog entry.

- Fix unbound-control dump_cache for double unlock of lruhash table.

- Fix ports workflow to install expat for macos.

- Fix that the zone acquired timestamp is set after the
  zonefile is read.

- Fix #1319: [FR] zone status for Unbound auth-zones.