- Note clearly that 'wait-limit: 0' disables all wait limits.
- 'wait-limit-cookie: 0' can now disable cookie validated wait
  limits.

- Note 'respip' and 'dns64' module order in the unbound.conf
  man page.

- Fix that https is set up as enabled when the port is listed in
  interface-automatic-ports. Also for the set up of quic it is
  enabled when listed there.

- Fix for #1344: Fix that respip and dns64 can be enabled at the
  same time, the client info is copied for attach_sub and add_sub
  calls. That makes respip work on dns64 synthesized answers, and
  also makes RPZ work with DNS64. The order for the modules is
  module-config: "respip dns64 validator iterator".

- Fix #1344: module conf 'respip dns64 validator cachedb iterator'
  is not known to work.

- Fix #1353: auth-zone can not use empty label for $ORIGIN when
  http download.

Changelog entry for #1351:
- Merge #1351: ac_cv_func_malloc_0_nonnull for malloc(0) check.

- Rebuild configure script from its sources.

ac_cv_func_malloc_0_nonnull for malloc(0) check (#1351)

- For #1339, use the standard variable ac_cv_func_malloc_0_nonnull for
  the malloc(0) check during configure; patch from Helmut Grohne.

Changelog entry for #1349:
- Merge #1349: Fix #1346: [FR] Please allow back TLS 1.2.

- Fix fr_atomic_copy_cfg.

Fix #1346: [FR] Please allow back TLS 1.2. (#1349)

* 'tls-use-system-policy-versions' is introduced to allow Unbound to use
  any system available TLS version when serving TLS.

* Apply suggestions from code review

---------

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- Neaten up the change in acx_nlnetlabs.m4 to version 49.

- Fix modstack_call_init to use the original string when it has
  changed, to call modstack_config with. And skip the changed name
  in the string correctly. Thanks to Jan Komissar.

- Rebuild configure script from its sources.

- Test for nonstring attribute in configure and add
  nonstring attribute annotations.

Update Mastodon shield

- Avoid calling mesh_detect_cycle_found() when there is no mesh state
  to begin with.

- For #1350, same CAP_NET_ADMIN change for unbound_portable.service.in
  as well.

Changelog entry for #1350:
- Merge #1350 from Maryse47: unbound.service.in: allow CAP_NET_ADMIN.

Merge pull request #1350 from Maryse47/patch-1

unbound.service.in: allow CAP_NET_ADMIN and drop CAP_NET_RAW (redundant now).

- For #1352, align with the current Python<3 code.

Changelog entry for #1352:
- Merge #1352 from Petr Vaganov: pythonmod: fix HANDLE_LEAK on
  pythonmod_init.

unbound.service.in: drop CAP_NET_RAW

CAP_NET_RAW is unnecessary after CAP_NET_ADMIN was added

Merge pull request #1352 from petrvaganoff/dev-52227

pythonmod: fix HANDLE_LEAK on pythonmod_init

pythonmod: fix HANDLE_LEAK on pythonmod_init

Found by the static analyzer Svace (ISP RAS).

Handle 'script_py' is created at pythonmod.c:436
by calling function 'fopen' and lost at pythonmod.c:457,465.

Signed-off-by: Petr Vaganov <petrvaganoff@gmail.com>

unbound.service.in: allow CAP_NET_ADMIN

Allowing CAP_NET_ADMIN is necessary for SO_SNDBUFFORCE and SO_RCVBUFFORCE calls.

- unbound.conf manpage: explicitly mention RFC6891.

Changelog entry for #1337:
- Merge #1337: 0 TTL cached replies and some TTL behavior changes.

Merge branch 'features/no-ttl-zero-cacherep'

- Update README.man with clearer text.

- Fix to remove configure~ from release tarballs.

- Tag for 1.24.0 release. Includes the fixes below after rc1.
  The repository continues with version 1.24.1.

code review: use proper roundrobin index

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- Too many quotes for the EDE message debug printout.

- Fix to print warning for when so-sndbuf setsockopt is not granted.

- Small debug output improvement when attaching an EDE.

A few changes for TTL processing:
- Cached messages that reach 0 TTL are considered expired. This prevents
  Unbound itself from issuing replies with TTL 0 and possibly causing a
  thundering herd at the last second. Upstream replies of TTL 0 still
  get the usual pass-through but they are not considered for caching
  from Unbound or any of its caching modules.
- 'serve-expired-reply-ttl' is changed and is now capped by the original
  TTL value of the record to try and make some sense when replying
  with expired records.
- TTL decoding was updated to adhere to RFC8767 section 4 where a set
  high-order bit means the value is positive instead of 0.

Merge branch 'master' into features/no-ttl-zero-cacherep

- Update contrib/aaaa-filter-iterator.patch so it applies on 1.24.0.

- version set to 1.24.0 for release.
- tag for 1.24.0rc1.

- Fix #1332: CNAME chains are sometimes not followed when RPZs add a
  local CNAME rewrite.

- Update man pages.

- Update documentation for using "SET ... EX" in Redis.
- Document max buffer sizes for Redis commands.

- For #1328: make depend.

- Fix indentation in tcp-mss option parsing.

- Fix #1324: Memory leak in 'msgparse.c' in
  'parse_edns_options_from_query(...)'.

- Fix #1235: Outdated Python2 code in
  unbound/pythonmod/examples/log.py.

- Fix for #1324: Fix to free edns options scratch in ratelimit case.

- Limit the number of consecutive reads on an HTTP/2 session.
  Thanks to Gal Bar Nahum for exposing the possibility of infinite
  reads on the session.

- Fix setup_listen_sslctx warning for nettle compile.

- Fix unbound-control dump_cache for double unlock of lruhash table.
Changelog entry.

- Fix unbound-control dump_cache for double unlock of lruhash table.

- Fix ports workflow to install expat for macos.

- Fix that the zone acquired timestamp is set after the
  zonefile is read.

- Fix #1319: [FR] zone status for Unbound auth-zones.

- Fix sha1 enable environment variable in test code on windows.

- For #1318: Fix compile warnings for DoH compile on windows.

- Fix for #1317: Fix contrib/unbound.service comment path for
  systemd network configuration.

- Fix #1317: Unbound starts too early. Add
  Wants=network-online.target under [Unit] in unbound.service.

- Fix to check for extraneous command arguments for unbound-control,
  when the command takes no arguments but there are arguments present.
Changelog note for the fix.

- Fix to check for extraneous command arguments for unbound-control,
  when the command takes no arguments but there are arguments present.

- Fix cache_lookup subnet print to not print messages without rrsets
  and perform in-depth check on node in the addrtree.

- Fix cache_lookup subnet print to not print messages without rrsets
  and perform in-depth check on node in the addrtree.

- Fix cache_lookup subnet printout to wipe zero part of the prefix.
Changelog entry.

- Fix cache_lookup subnet printout to wipe zero part of the prefix.

- unbound-control cache_lookup +t allows tld and root names. And
  subnet cache contents are printed.
Changelog, documentation and unit test.

- unbound-control cache_lookup +t allows tld and root names. And
  subnet cache contents are printed.

- Fix to decouple file descriptor activity and cache lookups in
  dump_cache.
Changelog note.

- Fix to decouple file descriptor activity and cache lookups in
  dump_cache.

- Fix to increase responsiveness of dump_cache.

- Fix to unlock cache_lookup message for malformed records.

- Fix to remove debug from cache_lookup.

- unbound-control cache_lookup <domains> prints the cached rrsets
  and messages for those.
Changelog and information.

- unbound-control cache_lookup <domains> prints the cached rrsets
  and messages for those.

- Fix that unbound-control dump_cache releases the cache locks
  every so often, so that the server stays responsive.
Changelog entry for it.

- Fix that unbound-control dump_cache releases the cache locks
  every so often, so that the server stays responsive.

- Fix to whitespace in dname_str.

- Fix that edns-subnet failure to create a subquery errors as
  servfail, and not formerror.

- Fix dname_str for printout of long names. Thanks to Jan Komissar
  for the fix.

- Fix edns subnet, so that the subquery without subnet is stored in
  global cache if the querier used 0.0.0.0/0 and the name and address
  do not receive subnet treatment. If the name and address are
  configured for subnet, it is stored in the subnet cache.

- Fix edns subnet, so that the subquery without subnet is stored in
  global cache if the querier used 0.0.0.0/0 and the name and address
  do not receive subnet treatment. If the name and address are
  configured for subnet, it is stored in the subnet cache.

- Fix to use assertions for consistency checks in #1309 reclaimed

- Fix #1309: incorrectly reclaimed tcp handler can cause data
  corruption and segfault.

- Fix testbound test program to accurately output packets from hex.

- Fix redis cachedb module gettimeofday init failure.
Changelog note for the fix.

- Fix redis cachedb module gettimeofday init failure.

- Redis checks for server down and throttles reconnects.
And unit test for redis reconnect interval.

- Redis checks for server down and throttles reconnects.

- iana portlist updated.

- Fix #1303: [FR] Disable TLSv1.2.

- Fix to not set rlimits in the unit tests.

- Add unit tests for non-ecs aggregation.

- Fix for RebirthDay Attack CVE-2025-5994, reported by Xiang Li
  from AOSP Lab Nankai University.
- Tag for 1.23.1 with the release of 1.23.0 and the CVE fix, the
  repository continues with the previous fixes, with 1.23.2.

Merge branch 'branch-1.23.1'

- Fix RebirthDay Attack CVE-2025-5994, reported by Xiang Li from AOSP
  Lab Nankai University.

- Set version to 1.23.1.

- Update man page templates from rst.

- For #1289: add num.valops in the unbound-control man page.

- For #1289: test num.valops in existing stat_values.tdir.