Move ldap_attrany[] definition from a header file to its only user.

Merge pull request #15470 from miodvallat/friday_combing

More low-hanging fruits from the views work

Merge pull request #15487 from romeroalx/update-packaging-version

Docs: update Python3 dependencies to fix CI failure

Merge pull request #15409 from rgacogne/ddist-ssl-switch-sni

dnsdist: Add support for switching certificates based on SNI w/ OpenSSL

Merge pull request #15463 from rgacogne/ddist-fix-getdnscryptbind

dnsdist: Fix a confusion about contexts/frontends in `getDNSCryptBind`

Merge pull request #15489 from rgacogne/fix-advisory-dnsdist-2022-02

dnsdist: Fix syntax of advisory 2025-02

dnsdist: Fix syntax of advisory 2025-02

Merge pull request #15488 from rgacogne/ddist-changelog-secpoll-1.9.9

dnsdist: Update ChangeLog and secpoll for DNSdist 1.9.9

Fix advisory path, spelling

spell-check: Allow CWE

dnsdist: Update ChangeLog and secpoll for DNSdist 1.9.9

dnsdist: Fix typos reported by Josh Soref (thanks!)

libssl: Properly handle the different return types of `sk_GENERAL_NAME_num`

docs: update python dependencies

dnsdist: Document the return value of `DNSCryptContext::generateAndLoadInMemoryCertificate`

Merge pull request #15431 from rgacogne/ddist-resume-health-checks-really

dnsdist: Be consistent with regard to health-check modes transition

Merge pull request #15440 from omoerbeek/quiche-soname

If SONAME is present in the generated quiche lib set it to the correct value

Use grep -F instead of fgrep

Co-authored-by: Remi Gacogne <github@coredump.fr>

Merge pull request #15481 from rgacogne/ddist-fix-closed-doh-stream

dnsdist: Gracefully handle timeout/response for a closed HTTP stream

Merge pull request #15480 from rgacogne/ddist-fix-doh-timeout-double-f

dnsdist: Fix a crash when processing timeouts for incoming DoH queries

Merge pull request #15435 from omoerbeek/rec-lua-getconfig

rec: add a Lua function to get the config dir and name

Merge pull request #15455 from omoerbeek/rec-docs-yaml

rec docs: prefer ref to YAML settings and show sections in YAML snippets

dnsdist: Gracefully handle timeout/response for a closed HTTP stream

The remote end might very well have already closed the HTTP stream
corresponding to the timeout or response we are processing. While
this means we need to discard the event we were processing, it is
not an unexpected event and we should thus not raise an exception
since the caller cannot do anything about it.

dnsdist: Fix a crash when processing timeouts for incoming DoH queries

This commit fixes a double-free triggered by an exception being raised
while we are processing a timeout for an incoming DoH query. The exception
bypasses the call releasing the smart pointer, and thus the destructor
is called when we reach the end of the function since we own the smart
pointer, but unfortunately it has already been destroyed by the function
that raised the exception. The fix is to release the pointer first,
then call the function, so even if an exception is raised we no longer
own the pointer, and it's clear that the function has taken ownership of it.

dnsdist: Fix clang-tidy warnings

dnsdist: Fix typos spotted by Miod in the documentation

Co-authored-by: Miod Vallat <miod.vallat@powerdns.com>

dnsdist: Be consistent with regard to health-check modes transition

Calling `setAuto()` on a backend used to set the health-check mode
to `active`, even if it had been set to `lazy` before, which was
quite confusing.
This commit introduces a new method, `setAutoActive()` which can
be used to change the health-check mode to `active`, and alters the
behaviour of `setAuto()` to restore the previous health-check mode
instead. This is a breaking change but since the default health-check
mode is `active` I don't expect to break any existing configurations.
It also introduces a new method, `getHealthCheckMode()`, to inspect
the current mode.

Merge pull request #15438 from rgacogne/ddist-fix-quic-freebsd-2

dnsdist: Only pass source addresses on sockets bound to ANY

Merge pull request #15473 from rgacogne/ddist-fix-tcp-limits-test

dnsdist: Fix spurious failure of the TCP limits regression tests

dnsdist: Fix spurious failure of the TCP limits regression tests

The "maximum duration" test used to trigger the maximum number of
TCP read IOs, preventing the next test from being run. This commit
sets the maximum number of TCP read IOs to "unlimited" for this test.

dnsdist: Allow setting an unlimited number of TCP read IOs (`0`)

drop upgradeToSchemav3

Use string_view to avoid new string creation...

...in apiCheckQNameAllowedCharacters().

dnsdist: Only pass source addresses on sockets bound to ANY

FreeBSD refuses the use of `IP_SENDSRCADDR` on a socket that is
bound to a specific address, returning `EINVAL` in that case.

dnsdist: Test that we can iterate on DNSCrypt binds and reload their certificates

dnsdist: Add a return value when generating and loading a DNSCrypt certificate

dnsdist: Fix a confusion about contexts/frontends in `getDNSCryptBind`

We internally keep two different frontends (UDP and TCP) for DNSCrypt
configuration binds, but the frontends should not be exposed to the user.
`getDNSCryptBind` should return distinct DNSCrypt contexts, one per
DNSCrypt configuration bind. This was broken during the refactoring
of how frontends are internally kept.

Merge pull request #15471 from rgacogne/ddist-fix-crash-removing-tcponly-server

dnsdist: Fix an iterator out-of-bound read when removing a TCP-only server

Various move vs copy improvements pointed by Coverity.

dnsdist: Fix an iterator out-of-bound read when removing a TCP-only server

Introduced in https://github.com/PowerDNS/pdns/pull/15418

Merge pull request #15468 from miodvallat/growing_up_the_hard_way

Document mysql foreign keys being incompatible with group replication

Merge pull request #15462 from rgacogne/ddist-fix-tcplimits-readio-test

dnsdist: Properly handle buffering in the "max read IOs" test

Merge pull request #15467 from nokia/master

dnsdist: Add indicator for cache hit rules to know if hit a stale entry

Merge pull request #15465 from jsoref/improve-descriptions

Remove period

Mention foreign keys constraints are incompatible with group replication.

Fix clang-tidy warning of inconsistent parameter name

Fix clang-tidy warning of too short parameter name

Add indicator for cache hit rules to know if hit a stale entry

Remove period

Merge pull request #15439 from nokia/master

dnsdist: Support DSCP marking towards downstream server

dnsdist: Properly handle buffering in the "max read IOs" test

It is completely possible that the entire query will be sent before
the dnsdist process notices that the number of IOs is larger than the
limit, closes the connection, and the test process is notified of the
socket being closed (for example because of buffering).
So we need to detect that the connection is closed during our attempt
to read the response, rather than while we are sending the query.
This commit does that, and also introduces a slight delay after sending
each byte of the query, increasing the likelihood of the dnsdist process
actually reading the query bytes one by one.

Merge pull request #15461 from rgacogne/ddist-fix-concurrency-ci

dnsdist: Limit the number of concurrent build jobs to 4 on CI

Merge pull request #15460 from miodvallat/further_away

Boring trivial dead code removal

dnsdist: Limit the number of concurrent build jobs to 4 on CI

We are experiencing a lot of build failures on GH actions when
building with `meson` and `ASAN+UBSAN`, likely running out of
memory. We could try to be smarter and only reduce the concurrency
when building with `ASAN+UBSAN`, but for now let's see if it makes
the failures go away.

Remove never provided argument of DNSPacket::setRemote().

Merge pull request #15376 from rgacogne/ddist-tcp-mitig

dnsdist: Add mitigations against misbehaving TCP/TLS clients

Merge pull request #15433 from rgacogne/ddist-rings-unit-tests-speed

dnsdist: Small optimization in the Rings unit tests

Merge pull request #15457 from MatthiasValvekens/docs/dnsupdate-policy-fix

Rearrange confusingly ordered docs on DNS update checks

Merge pull request #15441 from miodvallat/zonezilla

ZoneName, step 2

Rearrange confusingly ordered docs on DNS update checks

Structure-wise, the paragraph on the interaction between ``allow-dnsupdate-from``, ``ALLOW-DNSUPDATE-FROM`` and ``TSIG-ALLOW-DNSUPDATE`` wound up in the section of the document on Lua update policies.

That seems unintentional, and it's additionally confusing because the description of the Lua update policy setting explicitly mentions that it causes all other enforcement mechanisms to be disabled. This change attempts to correct that.

Merge pull request #15390 from miodvallat/the_misinterpretation_of_silence_and_its_disastrous_consequences

[auth] Log DNS packet parse errors

Simplify !a.isPartOf(b) && a != b constructs.

By design, a.isPartOf(a) is always true.
Therefore, if a and b compare equal, !a.isPartOf(b) and a != b are both
false and the result of the expression is false, but also
!a.isPartOf(b).

If not, then a != b is true and the result of the expression is
!a.isPartOf(b).

Boolean algebra is hard, let's go shopping.

Review improvements.

clang-tidy all the things!

Remove a few wire-related interfaces from ZoneName.

This should prevent accidental use, by requiring an explicit conversion to
DNSName and thinking about what we are doing here.

Stricter ZoneName usage.

While ZoneName is still equivalent to DNSName, this commit turns it into a
separate class (with the same interface as DNSName), and requires conversion
between these classes to be explicit, so that we can recognize the
DNSName/ZoneName boundaries and change them as needs arise.

It is intended for these explicit conversion requirements to be only temporary,
which would allow all these ".operator const DNSName&()" calls to get removed
eventually, once the dust settles and our trust it proper use of ZoneName versus
DNSName is strong enough.

Merge pull request #15451 from miodvallat/after_before_or_between_choose_one

Better behaviour with non-working DNSSEC configurations

Log, at debug level, DNS packet parse errors.

Fixes #14513

Merge pull request #15299 from miodvallat/all_inclusive

API: allow fetching disabled RRsets

Merge pull request #15381 from miodvallat/call_off_the_search

[auth] Mention which backends support search operations

Update pdns/packethandler.cc

No need to complain about the lack of DNSSEC if NSEC3 narrow mode.

Co-authored-by: Peter van Dijk <peter.van.dijk@powerdns.com>

Beef up dns64 example, as suggested by Miod

Apply suggestions from code review

Tweak log messages a little.

Co-authored-by: Peter van Dijk <peter.van.dijk@powerdns.com>

Better wording

Co-authored-by: Peter van Dijk <peter.van.dijk@powerdns.com>

No need to pass a DNSPacket to APILookup().

Change references form old style to YAML setting in docs

rec: consistently show YAML fragments including the section

Do not add NSEC* hashes if the backend isn't able to do so.

Fail more gracefully in default getBeforeAndAfterNamesAbsolute.

If invoked on a non-DNSSEC-capable backend, it should fail with a visible
error message rather than bluntly abort().

Merge pull request #15448 from Habbie/lmdb-v5-test

auth LMDB: test "upgrade" from v5 too

Allow binary files for lmdb test-assets.

bump one DomainInfo object to class v1

add v5 base for schema upgrade test

Merge pull request #15393 from miodvallat/opcode_red

[auth] Rework PacketHandler::doQuestion()

Merge pull request #15434 from Habbie/auth-docs-no-sysv

auth docs: stop mentioning SysV init script, it has been gone for a while

Merge pull request #15443 from miodvallat/ruhe

Add a quiet option to pdnsutil

Use pdnsutil -q to get clean output.

Add a global quiet option to pdnsutil to silence some messaces.

If SONAME is present in the generated quiche lib set it to the correct value

This is needed as we rename the file. We try to not include the
SONAME, but some systems include it anyway.

Merge pull request #15436 from omoerbeek/dnsdist-unused

dnsdist: a few more cases of potentially unused args

Merge pull request #15410 from omoerbeek/rec-regr-moduledir

rec regr tests: allow to set moduledir using an env var

Merge pull request #15437 from omoerbeek/rec-meson-sysconfdir-quote

rec: [meson] strip quotes meson adds from SYSCONFDIR (and two other config values)

Fix CodeQL: move code up to avoid usage after std::move

Add dscp/DSCP for spell check and fix clang-tidy

Support DSCP marking towards downstream server

Tidy

dnsdist: Fix typos in the configuration spotted by Miod

dnsdist: Refactor some very similar functions in the TCP limits code

dnsdist: Ignore port mask for TCP limits if the v4 mask != 32

dnsdist: Use a power of two values for the number of shards, as suggested by Otto