Allow interface names as scope-id in IPv6 link-local addresses.

For example, this makes
forward-zone:
    name: "."
    forward-addr: fe80::20d:b9ff:fe46:c7f4%vio0
    forward-first: yes

work instead of fe80::20d:b9ff:fe46:c7f4%1.

- Fix to protect custom regional create against small values.

- Fix chaos replies to have truncation for short message lengths,
  or long reply strings.

- Fix to add example.conf note for outbound-msg-retry.

- Implement RFC8375: Special-Use Domain 'home.arpa.'.

- Fix crosscompile script for the shared build flags.

- Fix crosscompile windows to use libssp when it exists.
- For the windows compile script disable gost.
- Fix that on windows, use BIO_set_callback_ex instead of deprecated

- Fix crosscompile shell syntax.

- For crosscompile on windows, detect 64bit stackprotector library.

- Fix crosscompile on windows to work with openssl 3.0.0 the
  link with ws2_32 needs -l:libssp.a for __strcpy_chk.
  Also copy results from lib64 directory if needed.

- Fix more initialisation errors reported by gcc sanitizer.

- Fix lock debug code for gcc sanitizer reports.

- Fix initialisation errors reported by gcc sanitizer.

- Fix root_anchor test to check with new icannbundle date.

- Fix for #41: change outbound retry to int to fix signed comparison
  warnings.

- Small fixes for #41: changelog, conflicts resolved,
  processQueryResponse takes an iterator env argument like other
  functions in the iterator, no colon in string for set_option,
  and some whitespace style, to make it similar to the rest.

Merge branch 'countsudoku-feature/configure-outbound_msg_retry'

Merge branch 'feature/configure-outbound_msg_retry' of git://github.com/countsudoku/unbound into countsudoku-feature/configure-outbound_msg_retry

Changelog entry for #538
- Fix #538: Fix subnetcache statistics.

Merge pull request #538 from tduboys/fix_subnetcache_statistics

Fix subnetcache statistics

Fix subnetcache statistics

- Fix tcp fastopen failure when disabled, try normal connect instead.

- Fix #533: Negative responses get cached even when setting
  cache-max-negative-ttl: 1

- Fix asynclook unit test for setup of lockchecks before log.

- Fix compile warning in libunbound for listen desetup routine.

- Fix RPZ locks. Do not unlock zones lock if requested and rpz find
  zone does not find the zone. Readlock the clientip that is found
  for ipbased triggers. Unlock the nsdname zone lock when done.
  Unlock zone and ip in rpz nsip and nsdname callback. Unlock
  authzone and localzone if clientip found in rpz worker call.

- Fix the stream wait stream_wait_count_lock and http2 buffer locks
  setup and desetup from race condition.

- Fix #536: error: RPZ: name of record (drop.spamhaus.org.rpz.local.)
  to insert into RPZ.

Changelog note for #401
- Merge #401: RPZ triggers. This add additional RPZ triggers,
  unbound supports a full set of rpz triggers, and this now
  includes nsdname, nsip and clientip triggers. Also actions
  are fully supported, and this now includes the tcp-only action.

Merge pull request #401 from NLnetLabs/rpz-triggers

RPZ triggers

Fix: buffer overflow bug

Found by static analyzer svace
Static analyzer message: Array 'token' of size 65536 bytes passed to
function 'rrinternal_parse_rdata' at str2wire.c:679 by passing as 2nd
parameter to function 'rrinternal_parse_rdata' at str2wire.c:775, where
it is accessed by unacceptable index. This may lead to buffer overflow.

on-behalf-of: @ideco-team <github@ideco.ru>

Changelog entry for #531
- Fix #531: Fix: passed to proc after free.

Merge pull request #531 from Shchelk/ptpaf

Fix: passed to proc after free

Fix: passed to proc after free

Found by static analyzer svace
Static analyzer message: Pointer 'dp' is passed to a function at
iter_hints.c:401 after the referenced memory was deallocated at
iter_hints.c:174 by passing as 3rd parameter to function 'hints_insert'
at iter_hints.c:398.

on-behalf-of: @ideco-team <github@ideco.ru>

Fix: dereferencing a null pointer

Found by static analyzer svace
Static analyzer message: Return value of a function 'reply_info_copy'
is dereferenced at dns64.c:923 without checking, but it is usually
checked for this function (4/5).

on-behalf-of: @ideco-team <github@ideco.ru>

Changelog note for #529 and nicer layout.
- Fix #529: Fix: log_assert does nothing if UNBOUND_DEBUG is
  undefined.

Merge pull request #529 from Shchelk/next

Fix: log_assert does nothing if UNBOUND_DEBUG is undefined

Fix: log_assert does nothing if UNBOUND_DEBUG is undefined

Found by static analyzer svace
Static analyzer message: Integer value 'len' obtained from untrusted
source at tube.c:374 by passing as 2nd parameter to function 'read'
at tube.c:340 without checking its higher bound is used as a loop bound
at tube.c:374.

on-behalf-of: @ideco-team <github@ideco.ru>

Merge branch 'master' into rpz-triggers

- Fix sed script in ssldir split handling.

- Fix #527: not sending quad9 cert to syslog (and may be more).

- Fix that --with-ssl can use "/usr/include/openssl11" to pass the
  location of a different openssl version.

- Fix to support harden-algo-downgrade for ZONEMD dnssec checks.

Changelog note for #528:
- Merge PR #528 from fobser: Make sldns_str2wire_svcparam_buf() static.

Merge pull request #528 from fobser/svcparam_static

Make sldns_str2wire_svcparam_buf() static.

Make sldns_str2wire_svcparam_buf() static.

The function is only used in this translation unit and prevents a "no
previous prototype" warning.

- zonemd, fix order of bogus printout string manipulation.

- Fix zonemd verification of key that is not in DNS but in the zone
  and needs a chain of trust.

- Fix for #431: Squelch permission denied errors for udp connect,
  and udp send, they are visible at higher verbosity settings.

- Support using system-wide crypto policies.

- For #514: generate configure.

Changelog note for #514:
- Merge PR #514, from ziollek: Docker environment for run tests.

Merge pull request #514 from ziollek/docker_for_run_test

Docker environment for run tests

- Fix to print error from unbound-anchor for writing to the key
  file, also when not verbose.

- For #519: fix comments for doxygen.

- For #519: yacc and lex. And fix python bindings, and test program
  unbound-dnstap-socket.

Changelog note for #519 and example.conf edit
- Merge #519: Support for selective enabling tcp-upstream for
  stub/forward zones.
- For #519: note stub-tcp-upstream and forward-tcp-upstream in
  the example configuration file.

Merge pull request #519 from ziollek/tcp_upstream_option

Support for selective enabling tcp-upstream for stub/forward zones

Changelog note for #523
- Merge #523: fix: free() call more than once with the same pointer.

Merge pull request #523 from Shchelk/bugfix

fix: free() call more than once with the same pointer

Changelog note for #521
- Merge #521: Update mini_event.c.

Merge pull request #521 from liheng562653799/master

Update mini_event.c

- Add test tool readzone to .gitignore.

- And 1.13.2rc1 became the 1.13.2 with the fix for the python module
  build. The current code repository continues with version 1.13.3.

fix: free() call more than once with the same pointer

- Reduce unnecessary linking

- Link to libpython only when needed, fixes #242

When pyunbound is enabled while pythonmodule is not (i.e., ./configure
--without-pythonmodule --with-pyunbound), only the Python library
_unbound.so uses Python functions, and main programs (unbound,
unbound-anchor, ...) and libunbound.so do not. This patch removes
unneeded linking.

- Link the Python library _unbound.so to Python only. _unbound.so does
  not directly use libraries used by libunbound. This patch removes
  unneeded linking mentioned in [1]

[1] https://github.com/NLnetLabs/unbound/pull/511#issuecomment-886072003

- memory management violations fixed

Update mini_event.c

When in heavy load, unbound opens many outside_network sockets for out going queries to delegation servers, which may result in a big fd(maxfd) value(for thread A 65500, for thread B 65501, for thread C ...).
There are situations when thread A has a max fd num 65500 where maxfd is of course 65500, thread B has max fd num 20 for now but maxfd is still 65501. Though linux kernel checks whether maxfd+1  passed by select syscall  is really the process' maxfd+1. Linux kernel can not tell maxfd+1 passed by thread B select syscall is much bigger(65501+1 or 65500+1  after trimed by kerne) than it should be (20+1).
In this situation, when kernel do_select() for thread B, much work is wasted.

- Fix #520: Unbound 1.13.2rc1 fails to build python module.

Merge branch 'master' into rpz-triggers

Add (stub|forward)-tcp-upstream options which enable using tcp transport only for specified stub/forward zones

For 1.13.2rc1.

- Tag for 1.13.2 release.

- Fix unit test zonemd_reload for use in run_vm.

- Fix libnettle zonemd unit test.

- Fix out of sourcedir run of zonemd unit tests.

reformat

Revert changes in files managed by maintainers, move docker do contrib dir

merge master

- Fix readzone compile under debug config.

- Fix missing locks in zonemd unit test.

- Fix static analysis warnings about localzone locks that are unused.

- Bump MAX_RESTART_COUNT to 11 from 8; in relation to #438. This allows
  longer CNAME chains in Unbound.

Changelog note for #415:
- Merge PR #415 from sibeream: Use /proc/sys/net/ipv4/ip_local_port_range
  to determine available outgoing ports.

Merge pull request #415 from sibeream/master

Use /proc/sys/net/ipv4/ip_local_port_range to determine available outgoing ports

- In unit test use openssl set security level to allow keys in test.

- Fix sign comparison warning on FreeBSD.

- Annotate assertion into error printout; we think it may be an
  error, but the situation looks harmless.

Changelog note for #517
- Merge PR #517 from dyunwei: #420 breaks the mesh reply list
  function that need to reuse the dns answer.

Merge pull request #517 from dyunwei/master

#420 breaks the mesh reply list function that need to reuse the dns answer.

Merge branch 'master' of github.com:NLnetLabs/unbound

- Listen to read or write events after the SSL handshake.
  Sticky events on windows would stick on read when write was needed.

#420

clear the c->buffer in the comm_point_send_reply does resolve the "can't fit qbuffer in c->buffer" issue, but it breaks the mesh reply list function that need to reuse the answer. because the c->buffer is cleared in the comm_point_send_reply, it cannot be resued again. it means that it is not inappropriate to clear c->buffer in the comm_point_send_reply.

After some investigation, i found it is appropriate to clear c->buffer before use in the http2_query_read_done.

- Fix verbose printout failure in tcp reuse unit test.

- iana portlist update.

- Move ECDSA functions to use OpenSSL 3.0.0 API.

- Move RSA and DSA to use OpenSSL 3.0.0 API.

Review fixup for keyraw pkey function use.

- Prepare for OpenSSL 3.0.0 provider API usage, move the sldns
  keyraw functions to produce EVP_PKEY results.

- For #515: Fix compilation with openssl 3.0.0 beta2, lib64 dir and
  SSL_get_peer_certificate.
- Move acx_nlnetlabs.m4 to version 41, with lib64 openssl dir check.