Merge branch 'master' into xfr-tsig

- xfr-tsig, flip buffer after tsig_sign_reply, but not for error_encode.

- Fix for #1344: Fix that respip and dns64 can be enabled at the
  same time, the client info is copied for attach_sub and add_sub
  calls. That makes respip work on dns64 synthesized answers, and
  also makes RPZ work with DNS64. The order for the modules is
  module-config: "respip dns64 validator iterator".

- Fix #1344: module conf 'respip dns64 validator cachedb iterator'
  is not known to work.

- Fix #1353: auth-zone can not use empty label for $ORIGIN when
  http download.

Changelog entry for #1351:
- Merge #1351: ac_cv_func_malloc_0_nonnull for malloc(0) check.

- Rebuild configure script from its sources.

ac_cv_func_malloc_0_nonnull for malloc(0) check (#1351)

- For #1339, use the standard variable ac_cv_func_malloc_0_nonnull for
  the malloc(0) check during configure; patch from Helmut Grohne.

Changelog entry for #1349:
- Merge #1349: Fix #1346: [FR] Please allow back TLS 1.2.

- Fix fr_atomic_copy_cfg.

Fix #1346: [FR] Please allow back TLS 1.2. (#1349)

* 'tls-use-system-policy-versions' is introduced to allow Unbound to use
  any system available TLS version when serving TLS.

* Apply suggestions from code review

---------

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- Neaten up the change in acx_nlnetlabs.m4 to version 49.

- Fix modstack_call_init to use the original string when it has
  changed, to call modstack_config with. And skip the changed name
  in the string correctly. Thanks to Jan Komissar.

- Rebuild configure script from its sources.

- Test for nonstring attribute in configure and add
  nonstring attribute annotations.

Update Mastodon shield

- Avoid calling mesh_detect_cycle_found() when there is no mesh state
  to begin with.

- For #1350, same CAP_NET_ADMIN change for unbound_portable.service.in
  as well.

Changelog entry for #1350:
- Merge #1350 from Maryse47: unbound.service.in: allow CAP_NET_ADMIN.

Merge pull request #1350 from Maryse47/patch-1

unbound.service.in: allow CAP_NET_ADMIN and drop CAP_NET_RAW (redundant now).

- For #1352, align with the current Python<3 code.

Changelog entry for #1352:
- Merge #1352 from Petr Vaganov: pythonmod: fix HANDLE_LEAK on
  pythonmod_init.

unbound.service.in: drop CAP_NET_RAW

CAP_NET_RAW is unnecessary after CAP_NET_ADMIN was added

Merge pull request #1352 from petrvaganoff/dev-52227

pythonmod: fix HANDLE_LEAK on pythonmod_init

pythonmod: fix HANDLE_LEAK on pythonmod_init

Found by the static analyzer Svace (ISP RAS).

Handle 'script_py' is created at pythonmod.c:436
by calling function 'fopen' and lost at pythonmod.c:457,465.

Signed-off-by: Petr Vaganov <petrvaganoff@gmail.com>

unbound.service.in: allow CAP_NET_ADMIN

Allowing CAP_NET_ADMIN is necessary for SO_SNDBUFFORCE and SO_RCVBUFFORCE calls.

- unbound.conf manpage: explicitly mention RFC6891.

Changelog entry for #1337:
- Merge #1337: 0 TTL cached replies and some TTL behavior changes.

Merge branch 'features/no-ttl-zero-cacherep'

- Update README.man with clearer text.

- Fix to remove configure~ from release tarballs.

- Tag for 1.24.0 release. Includes the fixes below after rc1.
  The repository continues with version 1.24.1.

code review: use proper roundrobin index

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- Too many quotes for the EDE message debug printout.

- Fix to print warning for when so-sndbuf setsockopt is not granted.

- Small debug output improvement when attaching an EDE.

A few changes for TTL processing:
- Cached messages that reach 0 TTL are considered expired. This prevents
  Unbound itself from issuing replies with TTL 0 and possibly causing a
  thundering herd at the last second. Upstream replies of TTL 0 still
  get the usual pass-through but they are not considered for caching
  from Unbound or any of its caching modules.
- 'serve-expired-reply-ttl' is changed and is now capped by the original
  TTL value of the record to try and make some sense when replying
  with expired records.
- TTL decoding was updated to adhere to RFC8767 section 4 where a set
  high-order bit means the value is positive instead of 0.

- xfr-tsig, note tsig-key support for fast_reload.

- xfr-tsig, unit test shows zonefile that is created.

- xfr-tsig, fast reload support for tsig keys.

Merge branch 'master' into features/no-ttl-zero-cacherep

- xfr-tsig, log TSIG key name with zone and notify information. Clear tsig
  data before making a new one.

- xfr-tsig, remove rpl unit test.

- xfr-tsig, add tdir test that performs tsig signed zone transfer.

Merge branch 'master' into xfr-tsig

- xfr-tsig, unit test use to make tsig for rpl.

- xfr-tsig, fix notify tsig answer, fix parse edns allows TSIG,
  unit test for auth zone with notify with tsig and notify answer with tsig.

- Update contrib/aaaa-filter-iterator.patch so it applies on 1.24.0.

- version set to 1.24.0 for release.
- tag for 1.24.0rc1.

- xfr-tsig, use tsig_parse_verify_reply_xfr for zone transfers with TSIG.

- xfr-tsig, unit test for tsig sign every couple packets, and verify that.

- xfr-tsig, unit test with another trace of tsig every couple packets.

- xfr-tsig, unit test to verify tsig every couple packets.

- xfr-tsig, unit test for tsig-verify-reply-xfr, with output that works
  with dig and NSD.

Merge branch 'master' into xfr-tsig

- xfr-tsig, fix algorithm name write in xfr reply tsig and unit test
  that works with output that works with dig and NSD.

- Fix #1332: CNAME chains are sometimes not followed when RPZs add a
  local CNAME rewrite.

- Update man pages.

- Update documentation for using "SET ... EX" in Redis.
- Document max buffer sizes for Redis commands.

- xfr-tsig, unit test tsig-sign-reply-xfr implementation.

Merge branch 'master' into xfr-tsig

- xfr-tsig, tsig_parse_verify_reply_xfr and tsig_sign_reply_xfr.

- For #1328: make depend.

- Fix indentation in tcp-mss option parsing.

- Fix #1324: Memory leak in 'msgparse.c' in
  'parse_edns_options_from_query(...)'.

- Fix #1235: Outdated Python2 code in
  unbound/pythonmod/examples/log.py.

- Fix for #1324: Fix to free edns options scratch in ratelimit case.

- Limit the number of consecutive reads on an HTTP/2 session.
  Thanks to Gal Bar Nahum for exposing the possibility of infinite
  reads on the session.

- Fix setup_listen_sslctx warning for nettle compile.

- Fix unbound-control dump_cache for double unlock of lruhash table.
Changelog entry.

- Fix unbound-control dump_cache for double unlock of lruhash table.

Merge branch 'master' into xfr-tsig

- xfr-tsig, add test case with AXFR packet with TSIG.

- Fix ports workflow to install expat for macos.

- Fix that the zone acquired timestamp is set after the
  zonefile is read.

- Fix #1319: [FR] zone status for Unbound auth-zones.

- Fix sha1 enable environment variable in test code on windows.

- For #1318: Fix compile warnings for DoH compile on windows.

- Fix for #1317: Fix contrib/unbound.service comment path for
  systemd network configuration.

- Fix #1317: Unbound starts too early. Add
  Wants=network-online.target under [Unit] in unbound.service.

- Fix to check for extraneous command arguments for unbound-control,
  when the command takes no arguments but there are arguments present.
Changelog note for the fix.

- Fix to check for extraneous command arguments for unbound-control,
  when the command takes no arguments but there are arguments present.

- xfr-tsig, log rcode for received notifies.

- xfr-tsig, tsig_get_mem function.

Merge branch 'master' into xfr-tsig

- xfr-tsig, TSIG for SOA probe, notify, and on xfr first packet.

- Fix cache_lookup subnet print to not print messages without rrsets
  and perform in-depth check on node in the addrtree.

- Fix cache_lookup subnet print to not print messages without rrsets
  and perform in-depth check on node in the addrtree.

- Fix cache_lookup subnet printout to wipe zero part of the prefix.
Changelog entry.

- Fix cache_lookup subnet printout to wipe zero part of the prefix.

- unbound-control cache_lookup +t allows tld and root names. And
  subnet cache contents are printed.
Changelog, documentation and unit test.

- unbound-control cache_lookup +t allows tld and root names. And
  subnet cache contents are printed.

- Fix to decouple file descriptor activity and cache lookups in
  dump_cache.
Changelog note.

- Fix to decouple file descriptor activity and cache lookups in
  dump_cache.

- Fix to increase responsiveness of dump_cache.

- Fix to unlock cache_lookup message for malformed records.

- Fix to remove debug from cache_lookup.

- unbound-control cache_lookup <domains> prints the cached rrsets
  and messages for those.
Changelog and information.

- unbound-control cache_lookup <domains> prints the cached rrsets
  and messages for those.

- Fix that unbound-control dump_cache releases the cache locks
  every so often, so that the server stays responsive.
Changelog entry for it.