dnsdist: Update the backend discovery tests

The output of `showServers()` has been modified, and these tests
parse it to know whether a backend has been correctly upgraded.

dnsdist: report distinct udp and tcp latencies both in the console and the builtin webserver

dnsdist: Report the TCP latency for TCP-only Do53, DoT and DoH backends

Since 1.8.0 we separately record the latency for queries forwarded
over UDP and TCP, to get a better picture of what is going on.
It means we have to be careful to pick the relevant one when looking
at the latency.

Merge pull request #12635 from jsoref/github-actions-follow-major

GitHub actions follow major

Use actions/cache@v3

Use actions/checkout@v3

Merge pull request #12631 from zeha/nudgesystemctl

Steer Linux users towards the supported service manager

Merge pull request #12632 from zeha/tsanspell

spelling: re-add "TSAN" to expect.txt

Steer Linux users towards the supported service manager

spelling: re-add "TSAN" to expect.txt

Merge pull request #12624 from rgacogne/ddist-1.8.0-rc2-changelog-secpoll

dnsdist: ChangeLog and secpoll update for 1.8.0-rc2

Merge pull request #12406 from mind04/auth-catalog-members

auth: pdnsutil, implement list-member-zones

Merge pull request #12249 from jsoref/master-spelling-v0.0.21

Upgrade check-spelling to v0.0.21

fix a typo, tweak expect.txt

Merge pull request #12349 from Habbie/auth-lua-hex

auth LUA: accept more hex formats in createForward[6]

Merge pull request #12331 from v1shnya/master

auth: fix ColumnSize argument in SQLBindParameter #12324

Add hmac pattern

Document permissions grants

Switch from pull_request_target to pull_request

At this point, most things do not care.

The main change here will be that spell checking will not check a PR if there are conflicts

Limit sarif to PRs from same repo

Drop comments in favor of job summaries

As we are no longer commenting, there will not be any confusion
between the two comments, and thus there is no real benefit in
skipping the check run for the push. At most a user will get two
failed runs instead of one.

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

Apply candidates

Refresh check-spelling metadata

Add dictionaries

gh actions: add dummy spelling workflow so we can prevent old versions from running

Upgrade check-spelling to v0.0.21

Using check-spelling/spell-check-this@main
https://github.com/check-spelling/spell-check-this/commit/7adef917a33f6b1032e7f8c617b5e71cefd6f101

---

Expect isn't being updated by this commit in order to enable the
previous version of check-spelling to report it's happy before it rides
off into the sunset.

The next person to trigger an update to expect will have the chance to
remove the stale items.

spelling: will

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

spelling: when

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

spelling: the

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

spelling: really

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

spelling: other

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

spelling: nonexistent

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

spelling: javascript

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

spelling: has

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

spelling: github

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

spelling: explicitly

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

spelling: every

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

spelling: dependent

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

spelling: been

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

spelling: and

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

update completions

Merge pull request #12580 from PowerDNS/dependabot/github_actions/actions/cache-3.2.6

build(deps): bump actions/cache from 3.2.5 to 3.2.6

Merge pull request #12604 from jsoref/docs-pdnsutil

docs: pdnsutil

Merge pull request #12625 from rgacogne/add-xdp-tsan-spell

Allow xdp and TSAN in our spell-checker

Merge pull request #12615 from rgacogne/ddist-protobuf-device-id-name

dnsdist: Add Lua bindings for PB requestorID, deviceName and deviceID

Allow xdp and TSAN in our spell-checker

dnsdist: ChangeLog and secpoll update for 1.8.0-rc2

Merge pull request #12620 from omoerbeek/rec-prep-4.8.3

rec: Prep for rec-4.8.3

Merge pull request #12614 from omoerbeek/rec-test-serve-stale-immservfailex

rec: test that an ImmediateServFailException isn't hidden by the serve-stale logic

Prep for rec-4.8.3

Rec: test that an ImmediateServFailException isn't hidden by the serve-stale logic

dnsdist: Add Lua bindings for PB requestorID, deviceName and deviceID

Merge pull request #12611 from omoerbeek/rec-negcache-serve-stale-logic

rec: Fix serve-stale logic in negcache by following the record cache case more closely

Merge pull request #12610 from omoerbeek/rec-fix-server-stale-loop

rec: Fix serve-stale loop logic

Reinstate refresh && served-stale logic

rec: Fix serve-stale logic in negcache by following the record cache case more closely

Fix serve-stale loop logic.

There are several issues here: we do not want to retry on an exception
ever as an exception indicates a final failure. e.g. a resolution
timeout for the whole query. Recursing in that state will generate
an exception storm. Individual timeouts of contacting a nameserver
do not generate an exception.  Also, we do not want to recurse if
the cache lookup for stale records did not produce anything in the
second iteration, we know it's probably going to be fatal and it
requires (portentially) a lot of work to find out.

This solves CPU pegging seen.

docs: pdnsutil

- remove stray `:`
- harmonize `...`

Merge pull request #12598 from rgacogne/rec-update-validation-state-missing-negative-indication

rec: Update validation state after a missing negative indication

Merge pull request #12595 from omoerbeek/rec-serve-stale-wipe

rec: Call the right wipe function for negcache in the serve-stale case

Call the right wipe function for negcache in the serve-stale case

This is a reason serve-stale is causing an intermittent high CPU
load: the wipe function actually called was deleting a (potentially
large) subtree of the negcache on all shards.

Merge pull request #12593 from rgacogne/clean-up-m4

m4: Clean up the fortify and LTO m4 by not directly editing flags

Merge pull request #12592 from rgacogne/ddist-servfail-metric

dnsdist: Only increment the 'servfail-responses' metric on backend responses

m4: Clean up the fortify and LTO m4 by not directly editing flags

Merge pull request #12586 from rgacogne/ddist-harvest-dest-addr

dnsdist: Fix the harvesting of destination addresses

dnsdist: Only increment the 'servfail-responses' metric on backend responses

Reported by phonedph1 (many thanks!).

Merge pull request #12589 from rgacogne/yahttp-cxx11-detection

YaHTTP: Better detection of whether C++11 features are available

Merge pull request #12588 from AdamMajer/doh_compilation_fix

dnsdist-protobuf: fix compilation with DoH disabled

yahttp: Better detection of whether C++11 features are available

The previous version relied on having `HAVE_CXX11` defined, which
is not true when you are compiling with C++17, for example, even
though the C++11 features are available (`HAVE_CXX17` is defined
but that does not help).

dnsdist-protobuf: fix compilation with DoH disabled

Merge pull request #12585 from romeroalx/repo-odbc-cleanup

Avoid Microsoft repo for ODBC packages. Step 3 of 3: cleanup manual installation of ODBC packages

dnsdist: Only fall back origDest, not hopLocal, to the frontend's address

Merge pull request #12587 from rgacogne/ddist-no-tsan-signal-warning

dnsdist: Skip signal-unsafe logging when we are about to exit, with TSAN

dnsdist: Skip signal-unsafe logging when we are about to exit, with TSAN

TSAN is rightfully unhappy about this:
```
WARNING: ThreadSanitizer: signal-unsafe call inside of a signal
```

This is not a real problem for us, as the worst case is that
we crash trying to exit, but let's try to avoid the warnings
in our tests.

dnsdist: Fix the harvesting of destination addresses

The original destination was not properly updated: 'hopLocal' contains
the destination address of the packet we received, and matches 'origDest'
unless the proxy protocol is used, in which case 'origDest' will be
updated by the 'real' destination address as seen by the client and
the first hop.
Reported by phonedph1 (many thanks!).

Avoid Microsoft repo for ODBC. Step 3: unixodbc install cleanup

Merge pull request #12584 from omoerbeek/auth-include-crypto

auth: Add flags to find libssl includes to two modules needing them

Add flags to find libssl includes to two modules needing them

Merge pull request #12582 from hlindqvist/dnsdist-svcb-dohpath-key7

Use key7 for dohpath in SVCB examples in dnsdist

Use key7 for dohpath in SVCB examples in dnsdist

As per the IANA registry, 7 is the id assigned for the dohpath SVCB
parameter: https://www.iana.org/assignments/dns-svcb/dns-svcb.xhtml

build(deps): bump actions/cache from 3.2.5 to 3.2.6

Bumps [actions/cache](https://github.com/actions/cache) from 3.2.5 to 3.2.6.
- [Release notes](https://github.com/actions/cache/releases)
- [Changelog](https://github.com/actions/cache/blob/main/RELEASES.md)
- [Commits](https://github.com/actions/cache/compare/v3.2.5...v3.2.6)

---
updated-dependencies:
- dependency-name: actions/cache
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #12577 from romeroalx/repo-odbc-codeql-allow-downgrades

Avoid Microsoft repo for ODBC packages. Step 1b: codeql - allow apt downgrades

Merge pull request #12578 from aerique/feature/add-dnsdist-18-to-repo-script

Add dnsdist-18 to repo test script.

Merge pull request #12576 from rgacogne/ddist-180-rc1-secpoll-2

dnsdist: The security status for 1.8.0-rc1 should be 1, not 3

Add dnsdist-18 to repo test script.

Avoid Microsoft repo for ODBC. Step 1: codeql allow apt downgrades

dnsdist: Actually, 1 is even better than 2 for pre-releases

dnsdist: The security status for 1.8.0-rc1 should be 2, not 3

Which means Update recommended instead of mandatory. Neither are nice,
so perhaps we need a different level for pre-releases?

Merge pull request #12550 from fredmorcos/openssl3-pkcs11-signers

OpenSSL 3.0: PKCS11 signers

Merge pull request #12575 from rgacogne/ddist-180-rc1

dnsdist: ChangeLog and secpoll update for 1.8.0-rc1

spell-check: Allow new names and technical terms

dnsdist: ChangeLog and secpoll update for 1.8.0-rc1

Merge pull request #12573 from romeroalx/repo-odbc-apt-allow-downgrades

Avoid Microsoft repo for ODBC packages. Step 1 of 3: allow apt downgrades

OpenSSL 3.0: PKCS11 signer

PKCS11 Signer: Fix buffer overflow

Avoid Microsoft repo for ODBC. Step 1: allow apt downgrades

pkcs11signers cleanup

Merge pull request #12555 from romeroalx/gh-auth-ldap-geoip

GH Actions: added ldap and geoip-mmdb tests. Removed from CircleCI.

rec: Update validation state after a missing negative indication

Merge pull request #12561 from rgacogne/ddist-test-protobuf-doh-tags-all-protocols

dnsdist: Ensure we have at least one protobuf MetaValue