clarify quoting/escaping upgrade note, thanks @jsoref

quote/escape PG connection parameters

Merge pull request #9427 from mind04/pdns-2136-metadata

auth: improve metadata caching

Merge pull request #9517 from jsoref/spelling

Spelling

Merge pull request #9495 from rgacogne/rec-rearm-after-ooor-timeout

rec: Watch the descriptor again after an out-of-order read timeout

Merge pull request #9504 from rgacogne/rec-time-constness

rec: Better const-ness when dealing with timestamps

Merge pull request #9505 from rgacogne/rec-unused-sign-tags

rec: Remove unused vector of tags in validateDNSKeysAgainstDS()

Merge pull request #9513 from rgacogne/ddist-fix-parse-edns-options

dnsdist: Fix getEDNSOptions() for {AN,NS}COUNT != 0 and ARCOUNT = 0

Merge pull request #9510 from azadi/dnsdist-prioritize-chacha

dnsdist: prioritize ChaCha20-Poly1305 when client does

dnsdist: prioritize ChaCha20-Poly1305 when client does

The OpenSSL option SSL_OP_PRIORITIZE_CHACHA prioritizes
ChaCha20-Poly1305 if the client does by temporarily re-prioritizing it
to the top of the server cipher list. Since dnsdist already sets
SSL_OP_CIPHER_SERVER_PREFERENCE by default (preferServerCiphers is set
to true), setting this option enables clients that prefer ChaCha20 due
to a lack of AES-NI (such as mobile devices) to override the server
specified list. This option requires SSL_OP_CIPHER_SERVER_PREFERENCE to
be set and was introduced in OpenSSL 1.1.1.

Note that this change neither affects clients that prefer AES or other
ciphers, nor dnsdist's default options, unless the client explicitly
prioritizes ChaCha20.

rec: Fix a typo in a comment

Co-authored-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

More DTime cleanups, as suggested by Otto during review

dnsdist: Fix getEDNSOptions() for {AN,NS}COUNT != 0 and ARCOUNT = 0

Since 1.5.0, calling getEDNSOptions() from Lua would result in a
ServFail for queries that had no records in additional but at least
one record in either the answer or authority section, such as a
NOTIFY, because of a bug in parseEDNSOptions(). That last function
incorrectly called slowParseEDNSOptions() in that case, triggering
an exception to be raised because slowParseEDNSOptions() does not
expect to be called for a packet with no record in the additional
section.
parseEDNSOptions() now returns `false` for packets that have no
record in the additional section.

Merge pull request #9509 from franklouwers/master

Point to reserved values for setProxyProtocolValues() + funky quotes replacements

Merge pull request #9512 from Habbie/repofiles-ubuntu-focal

generate-repo-files: various updates

Merge pull request #9488 from rgacogne/lmdb-safe-views

Sync string_view definition in lmdb-safe

generate-repo-files: remove all ubuntu trusty

generate-repo-files: remove all debian jessie

generate-repo-files: add auth-43 and dnsdist-15 ubuntu focal

doc typo, thanks @jsoref

Merge pull request #9511 from Habbie/auth-advisories-2020

auth 22 sept 2020: advisories, changelogs, docs

auth 22 sept 2020: advisories, changelogs, docs

Merge pull request #9490 from omoerbeek/rec-coverity-check-fd

rec: Check return value of dup(2) as noted by coverity.

Point to reserved values for setProxyProtocolValues() + funky quotes
replacements

Merge pull request #9494 from omoerbeek/rec-incomplete-ifdef

rec: incomplete ifdef

rec: Remove unused vector of tags in validateDNSKeysAgainstDS()

rec: Better const-ness when dealing with timestamps

Check return value of dup(2) as noted by coverity.

Merge pull request #9497 from Habbie/unknown-record-invalid-hex

auth: raise an exception on invalid content in unknown records

Merge pull request #9493 from omoerbeek/rec-log-rec_control

Log the line received fomr rec_control

rec: Watch the descriptor again after an out-of-order read timeout

It might be that there was no other incoming query on that connection
and we timed out while the response had not been sent yet, but the
client might want to re-use the connection after receving the response.
We try to reset the TTD, but that might fail when the socket descriptor
has already been removed.

Merge pull request #9492 from omoerbeek/rec-detach-snmp-thread

rec: Detach snmp thread to avoid trouble when trying to quit nicely.

Merge pull request #9491 from omoerbeek/rec-fix-wipe-cache-typed

rec: Fix rec_control wipe-cache-typed

Incomplete ifdef

Detach snmp thread to avoid trouble when trying to quit nicely.

This avoids a case where the thread object and the RecursorSNMPAgent
object get destroyed in the wrong order.

Log the line received fomr rec_control

This can be handy to see what commands were issued to the recursor
when reviewing logs.

Merge pull request #9481 from omoerbeek/rec-prep-4.4.0-rc1

rec: prep for rec-4.4.0-rc1

Fix rec_control wipe-cache-typed (likely a merge error)

Merge pull request #9478 from mind04/pdns-fixme400

Auth: remove a '// HACK FIXME400' and fix the bugs it was hiding

We don't use string_view::at() in lmdb-safe

Switch to the pdns_string_view alias to prevent collisions

Sync string_view definition in lmdb-safe

While we do not actually care about string_view::at() in lmdb-safe,
we need to keep the two in sync so the type aliases do not collide.
Perhaps we should consider using pdns_string_view as an alias instead?

Merge pull request #9487 from PowerDNS/pdnsutil-ipdecrypt-typo

Update pdnsutil.cc ipencrypt/ipdecrypt typo

Update pdnsutil.cc

Merge pull request #9486 from phonedph1/patch-25

Update dnsdist-console.cc

Update dnsdist-console.cc

Merge pull request #9482 from omoerbeek/rec-docs-rst-warnings

rec: Fix a few .rst warnings

Merge pull request #9479 from rgacogne/fix-views

Fix our string_view usage on older distributions

Merge pull request #9475 from omoerbeek/rec-shared-negcache

Rec: shared and sharded negcache

Merge pull request #9477 from pieterlexis/dnstap-needs-protobuf

dnsdist, rec: dnstap requires protobuf

Prep for rec-4.4.0-rc1

Fix a few .rst warnings

rename s_RC and s_negcache to g_recCache and g_negCache to make
clear they are global

dnsdist: views.hh should be a symbolic link to one in the pdns/ directory

Apply suggestions from code review

Co-authored-by: Remi Gacogne <rgacogne+github@valombre.net>

Fix our string_view usage on older distributions

- boost::string_ref requires Boost >= 1.53.0, which we don't have
  in EL6, fall back to a plain std::string (alloc + copy) there ;
- boost::string_view::at() is broken for modern compilers before
  1.64.0, so let's use boost::string_ref instead in that case.

Merge pull request #9385 from rgacogne/rip-out-gss

auth: Remove GSS/TSIG support

Merge pull request #8993 from rgacogne/packetcache-cookies

Skip EDNS Cookies in the packet cache

docs: GSS/TSIG will be removed in 4.4.0, not 4.3.1

Co-authored-by: Peter van Dijk <peter.van.dijk@powerdns.com>

docs: GSS/TSIG will be removed in 4.4.0, not 4.3.1

Co-authored-by: Peter van Dijk <peter.van.dijk@powerdns.com>

Merge pull request #8969 from rgacogne/systemd-more-sandboxing

Use more of systemd's sandboxing options when available

Update m4/pdns_check_dnstap.m4

Co-authored-by: Remi Gacogne <rgacogne+github@valombre.net>

dnsdist, rec: dnstap requires protobuf

Fail the configure when protobuf is disabled or not found but dnstap was
enabled.

Auth: remove a '// HACK FIXME400' and fix the bugs it was hiding

- LMDB backend was not handling out of zone additionals well.
- doAdditionalProcessingAndDropAA() was wasting backend queries for out of zone records.
- Remove the 'do-ipv6-additional-processing' setting, processing is now always on.
- Some cleanup in zone2sql.

Introduce an invalidate() method instead of assigning directly

Merge pull request #9471 from rgacogne/rec-log-missing-negindic

rec: Log when going Bogus because of a missing SOA in authority

Nasty interaction between security-poll and shared negcache:
if security pool is run, in the RPZ test we have a neg entry for .com
which makes the TTL of the NXDOMAIN unexpected.

rec: Log when going Bogus because of a missing SOA in authority

A missing SOA in the authority section of negative (NXDOMAIN, NODATA)
answers in a DNSSEC-secure zone currently leads to a Bogus result,
because the needed NSEC/NSEC3 could not be validated.

Reformat

Include <mutex>; constify a few methods

Shared & sharded NegCache

Merge pull request #9403 from jsoref/gemfile-ruby-crash

xenial: fix ruby crash

Merge pull request #9437 from jsoref/issue-9436

Add pdnsutil to see also for pdns_control

Merge pull request #9466 from Habbie/dnsdist-dnsname-toraw

dnsdist dnsname: add toDNSString convenience function

Merge pull request #9469 from rgacogne/dnsbulk-rnd

dnsbulktest: Initialize the 'rng' and 'entropy-source' arguments

dnsbulktest: Initialize the 'rng' and 'entropy-source' arguments

They are required to use dns_random(), which is used by our DNS
packet generation code.

Merge pull request #9461 from franklouwers/master

Add youtube and duckduckgo

dnsdist dnsname: add toDNSString convenience function

Merge pull request #9448 from omoerbeek/qname-min-vs-forward

rec: We only want to do QName Minimization for the names in a forwarded domain.

Merge pull request #9463 from spirillen/patch-1

Small rewrite of `addMasks(dofile`

Update pdns/recursordist/docs/lua-scripting/netmask.rst

Co-authored-by: Peter van Dijk <peter.van.dijk@powerdns.com>

Small rewrite of `addMasks(dofile`

I have made this little rewrite to avoid other from pit falling into the same mistake I made myself, and read the existent code as a list of IP's inside `bad.ips`, and not a script returning pre-formatted IPs.

Use boost::optional to pass optional cutoff point. This way the
proper cutoff point can be specified for forwarded zones only,
making it possible to change it meaning witjout regular nameserver
lookups.

Make code more clear by eliminating the "ancestor" as suggested by @rgacogne

If we're looking in the cache for NS for a forwarded name, we
can cut off the search at the forwarding domain.

I'm not sure if I like the added complexity...

Merge pull request #9462 from phonedph1/patch-24

Update comboaddress.rst

Update comboaddress.rst

add www.duckduckgo

Add youtube and duckduckgo

Merge pull request #9454 from omoerbeek/rec-clear-parts

Parts is reused, so clear the names it might contain.

Parts is reused, so clear the names it might contain.

Take into account a potentially more specific NS we might
have in cache.

Also, do the forward lookup only once before the loop.

Merge pull request #9447 from omoerbeek/rec-prep-4.3.4

rec: Changelog and secpoll rec-4.3.4

We only want to do QName Minimization for the names in a forwarded
domain.

E.g. if foo.bar.com is forwarded and the qname is x.foo.bar.com,
start the QM process with ancestor foo.bar.com, so the query is
directed to the forwarder.  But if the qname is baz.bar.com, we do
regular QM, starting with the regular ancestor.

Should fix #9438 without breaking having forward for .

Prep rec-4.3.4

Merge pull request #9446 from pieterlexis/gcc10-fix

Fix building remote backend on GCC 10

Fix building remote backend on GCC 10

Merge pull request #9434 from omoerbeek/rec-forward-who-is-auth-for-ds

rec: When deciding if we are auth in the local auth or forwarding case, DS is special

Merge pull request #9445 from Habbie/docs-tcprule

dnsdist docs: TCPRule argument is not optional

dnsdist docs: TCPRule argument is not optional