dnsdist: Move DownstreamConnectionsManager to its own header

Merge pull request #11506 from omoerbeek/packetcache-unaligned-header

Another case of unaligned access of header data found by ubsan on OpenBSD

Merge pull request #11509 from omoerbeek/rec-coverity-20220406

Rec: three more coverity cases: 1487743, 1419403 and 1419401

Only catch NetmaskException and leave out noexcept as OOM situations can still throw

Merge pull request #11299 from Zash/auto-svbc-version

Document which version adds svc-autohints

Two Coverity reports: 1419403 Uncaught exception and 1419401 Uncaught exception

Both cases have the same root cause: a possible exception thrown
from NetmaskTree::copyTree.  Coverity negelects to report the calling
context, I'm assuming it is from a static initializer.  As a
NetmaskTree can only have valid nodes (insert does not allow an
invalid AF), reading from an existign tree should be fine.

Coverity 1487743: Unchecked return value

Another case of unaligned access of header data found by ubsan on OpenSBD

Merge pull request #11497 from Y7n05h/master

dnsdist: Add setTCPFastOpenKey()

Merge pull request #11500 from paddg/patch-11

Update upgrade.rst

Update pdns/dnsdistdist/docs/reference/config.rst

Co-authored-by: Remi Gacogne <github@coredump.fr>

Update pdns/dnsdist-lua.cc

Co-authored-by: Remi Gacogne <github@coredump.fr>

Update upgrade.rst

Oversight corrected

Merge pull request #11483 from omoerbeek/rec-prep-459-462

Prep for 4.5.9 and 4.6.2 releases

dnsdist: add document for setTCPFastOpenKey()

Signed-off-by: Y7n05h <Y7n05h@protonmail.com>

dnsdist: Change the type of g_TCPFastOpenKey and related variables

Signed-off-by: Y7n05h <Y7n05h@protonmail.com>

Merge pull request #11484 from omoerbeek/rec-syncres-tables3

rec: Use boost::mult-index for nsspeed table and make it shared.

Merge pull request #11466 from omoerbeek/2022-01-ixfr

ixfr: Fix a case where an incomplete read caused by network error might result in a truncated zone

rename find to find_or_enter

Merge pull request #11489 from Habbie/dnsupdate-carsten

auth docs: fix typo in dnsupdate doc, thanks Carsten Strotmann

Merge pull request #11496 from swegener/recursor-segfault-parseACL

Prevent segfault with empty allow-from-file and allow-from options

Merge pull request #11495 from omoerbeek/luawrapper-exception-from-cp-ct

Coverity: 1419402 Uncaught exception in LuaWrapper

Add conditional compilation

Signed-off-by: Y7n05h <Y7n05h@protonmail.com>

dnsdist: Add setTCPFastOpenKey()

Signed-off-by: Y7n05h <Y7n05h@protonmail.com>

Prevent segfault with empty allow-from-file and allow-from options

Always return a valid NetmaskGroup from parseACL()

Merge pull request #11494 from omoerbeek/coverity-fixes-20220401

Bunch of Coverity fixes

Throw an exception on trying to get an address out of a non-A/AAAA record.

Better that the nullptr deref it was before.

Coverity: 1419402 Uncaught exception

Catch any exception that might be thrown when (copy) constructing an object.
As the push method is declared `noexcept` we cannot have that.

Formatting

Coverity:
1469603 Uninitialized scalar field
1445929 Uninitialized scalar field

Coverity: 1469685 Dereference null return value

Coverity: 1466057 Unchecked return value

Coverity: 1462718 Unchecked return value from library

Coverity:
1487562 Uninitialized scalar variable
1469603 Uninitialized scalar field
1446991 Uninitialized scalar field

Coverity 1469687: Dereference null return value

Merge pull request #11312 from omoerbeek/rec-pc-cleanup

Rec: packet cache improvements

Use correct index for LRU delete

Use correct counters to compute PC cache hit ratio and qps.
SyncRes::s_queries only counts queries handled by SyncRes.

Format cachecleaner

Tell packet cache it's max size and use it on insert to immediately
delete the oldest entry when we're over-sized.

Also, if we're seeing a stale cache item, don't move it to the front
of the sequence, as we're almost always going to update it and then
it will be moved again to the back.

Only create PC for threads that need it

auth docs: fix typo in dnsupdate doc, thanks Carsten Strotmann

Use boost::mult-index for nsspeed table and make it shared.

Merge pull request #11444 from omoerbeek/rec-syncres-tables2

rec: Use nice format for timestamp printing

Use nice format for timestamp printing

Merge pull request #11476 from omoerbeek/rec-std-function

Switch from boost::function to std::function everywhere

Merge pull request #11477 from omoerbeek/rec-docs-postresolve-ffi

rec: postresolve_ffi docs

Merge pull request #11471 from omoerbeek/rec-sd_notify

rec: In the handler, call sd_notify just befere entering the main loop in RecursorThread

Merge pull request #11482 from rgacogne/fix-static-warnings

Fix a couple of static analysis warnings

LuaWrapper: Prevent referencing a temporary object

Reported by Coverity (CIDs 120403 and 145915)

LMDB: Clarify that the base commit() method should be called in the dtor

CodeQL warns that there might some ambiguity about whether the base
or derived commit() method is called in derived classes:

https://github.com/PowerDNS/pdns/security/code-scanning/379

rec: postresolve_ffi docs

Plus fix a formatting issue in policyEventFilter docs.

Prep for 4.5.9 and 4.6.2 releases

Include <functional> where needed

Move remaining boost:function to std::function

auth, rec IXFR-in: Fix a case where an incomplete read caused by network error might result in a truncated zone.

As we might break from the loop early, we need to check if the end SOA was seen after the loop.
Also make sure we detect end conditions for both AXFR and IXFR style properly, to avoid processing
data after the end marker.

Merge pull request #11295 from tokred/contrib-pdnsutil-zcompl

auth: zsh completion script for pdnsutil

Switch to std::fcuntion for broadcast functions. Fixes a mem leak report by scanbuild.

auth: zsh completion script for pdnsutil

In the handler, call sd_notify just befere entering the main loop in RecursorThread

There still is a race, but this is better than calling sd_notify before the handler is created.

Merge pull request #11437 from rgacogne/ddist-healthcheck-mplexer

dnsdist: Only allocate the health-check mplexer when needed

Merge pull request #11470 from omoerbeek/rec-scanbuild-fixes

Rec: scanbuild fixes

Merge pull request #11426 from mind04/pdns-fix-decaf-signer

decaf signer did not compile after #11414

Merge pull request #11465 from omoerbeek/docs-2022-01-prs

Fill in PR#s for Security Advisory 2022-01

Merge pull request #11445 from omoerbeek/rec-nod-log-too-long

rec: Only log "Unable to send NOD lookup" if log-comnon-errors is set

Comment on the two remaining scanbuild cases. At first sight these are both false positives.

Teach scanbuild that two divisions are safe: one by adding an assert, one by using a *const* table

Add .cacche dir for pdns/pdns

Scanbuid fixes

AFAIKS, a few false positives remain:

Unused code Dead assignment lwres.cc asyncresolve 444 1 View Report
Logic error Division by zero pdns_recursor.cc selectWorker 2423 49 View Report
Logic error Division by zero sillyrecords.cc precsize_aton 48 32 View Report
Memory error Memory leak recursordist/rec-main.cc wipeCaches 2716 18 View Report

Merge pull request #11467 from Habbie/spelling-202203

spelling: add missed words

spelling: add missed words

Merge pull request #11447 from jsoref/linguist-dns-zones

Add linguist-language tag for dns zones

Add linguist-language tag for dns zones

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

Fill in PR#s for Security Advisory 2022-01

secpoll: fix typos

Merge pull request #11452 from omoerbeek/prep-docs-2022-01

rec/auth: Prep for security release 2022-01 (low severity)

Merge pull request #11450 from fredmorcos/checked-stoi-empty-str-fix

`checked_stoi` fix: Don't leave `idx`/`pos` uninitialized when the input string is empty

format decafsigners.cc

Don't leave idx/pos uninitialized when input str is empty

Merge pull request #11449 from rgacogne/docs-pin-jinja2

docs: Pin jinja2 to < 3.1.0

docs: Pin jinja2 to < 3.1.0

Jinja2 3.1.0 removed deprecated code that is still used by sphinx
1.8.x, and it looks like our custom sphinx extensions are not working
with more recent versions of sphinx..

See:
- https://github.com/pallets/jinja/issues/1631
- https://github.com/readthedocs/readthedocs.org/issues/9037

and

- https://github.com/PowerDNS/pdns/pull/7712

The exact error is:
```
Extension error:
Could not import extension sphinx.builders.latex (exception: cannot import name 'contextfunction' from 'jinja2' (/dnsdist/pdns/dnsdistdist/.venv/lib/python3.7/site-packages/jinja2/__init__.py))
```

Prep for 2022-01

Merge pull request #11438 from fredmorcos/checked-conv-boundary-val-fix

Checked int conversions: Avoid checks when boundary values are equal

Only log "Unable to send NOD lookup" if log-common-errors is set

Fixes #11440.

Merge pull request #11443 from omoerbeek/rec-syncres-tables1

rec: Move implemenation of failed and non-resolving table to .cc file

Merge pull request #11442 from omoerbeek/rec-docs-api-config-dir

rec: Note that api-config-dir and include-dir should be the same for updates via REST to work

Checked int conversions: Avoid checks when boundary values are equal

Move implemenation of failed and non-resolving table to .cc file

Note that api-config-dir and include-dir should be the same for dynamic updates of config to work.

Plus fix assorted typos. Fixes #11439

Merge pull request #11308 from omoerbeek/rec-save-parent-ns

rec: Remember parent NS set, to be able to fallback to it if needed

Merge pull request #11396 from omoerbeek/rec-proxy-by-table

Rec: proxy by table

proxyMapping: a table based approach to let the recursor know the actual IP address it should use for ACLS etc

Merge pull request #11436 from rgacogne/ddist-unbreak-optional

dnsdist: Fix compilation by adding a missing <optional> include in misc.cc

dnsdist: Only allocate the health-check mplexer when needed

When health-checking is disabled, or when a check delay longer than one
second is used, there is no need to allocate a new multiplexer object
every second.

Apply suggestions from code review

Co-authored-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

Test for saved parent set

Docs, and config switch (default off)

Moved SavedParentSet class to syncres.cc

The nsset can change, so we have to be prepared for that

Process comment reviews