- Fix Integer Underflow in Regional Allocator,
  reported by X41 D-Sec.

- Fix Local Memory Leak in cachedb_init(),
  reported by X41 D-Sec.

- Fix Config Injection in create_unbound_ad_servers.sh,
  reported by X41 D-Sec.

- Fix Out-of-Bounds Read in dname_valid(),
  reported by X41 D-Sec.

- Fix Randomness Error not Handled Properly,
  reported by X41 D-Sec.

- Fix Weak Entropy Used For Nettle,
  reported by X41 D-Sec.

- Adjust unbound-control to make stats_shm a read only operation.

- Fix Shared Memory World Writeable,
  reported by X41 D-Sec.

- Fix Race Condition in autr_tp_create(),
  reported by X41 D-Sec.

- Fix Out of Bounds Read in rrinternal_get_owner(),
  reported by X41 D-Sec.

- Fix Out of Bounds Write in sldns_bget_token_par(),
  reported by X41 D-Sec.

- Fix Out of Bounds Read in sldns_str2wire_dname(),
  reported by X41 D-Sec.

- Fix Integer Overflow to Buffer Overflow in
  sldns_str2wire_dname_buf_origin(), reported by X41 D-Sec.

- Fix Integer Overflows in Size Calculations,
  reported by X41 D-Sec.

- Fix Out-of-bounds Read in rr_comment_dnskey(),
  reported by X41 D-Sec.

- Fix Unchecked NULL Pointer in dns64_inform_super()
  and ipsecmod_new(), reported by X41 D-Sec.

- Fix Integer Overflow in Regional Allocator,
  reported by X41 D-Sec.

Cast to unsigned before comparison for assertion.

And check the buffer size precisely.

- Fixes to please lint checks.

- Fix authzone printout buffer length check.

- 1.9.5 is 1.9.4 with bugfix, trunk is 1.9.6 in development.

- Fix CVE-2019-18934, shell execution in ipsecmod.

- gitignore .source tempfile used for compatible make.

- Portable grep usage for reuseport configure test.
- Check return type of HMAC_Init_ex for openssl 0.9.8.

- Provide a prototype for compat malloc to remove compile warning.

- update to bison output of 3.4.1 in code repository.

- In unbound-host use separate variable for get_option to please
  code checkers.

- fixes for splint cleanliness, long vs int in SSL set_mode.

- contrib/fastrpz.patch updated to apply for current code.

- iana portlist updated.

Changelog note and configure autoconf generated.
- Merge #102 from jrtc27: Add getentropy emulation for FreeBSD.

Merge pull request #102 from jrtc27/freebsd-getentropy

Add getentropy emulation for FreeBSD

- Fix #109: check number of arguments for stdin-pipes in
  unbound-control and fail if too many arguments.

Add "dynlib" prefix to example output, log queries

This adds the "dynlib: " prefix to all messages created by the
`helloworld.c` dynamic library example.

It also adds logging of queries that pass through `operate`.

Add getentropy emulation for FreeBSD

Add inplace callback to dynlibmod, improve example

This adds the possibility to properly register inplace callbacks in the
dynamic library module. It works by creating a wrapper procedure that
is available to the dynamic library and will call the given callback
through a whitelisted callback function.

The dynamic library example has already been improved to include
comments and some simple examples on allocating and deallocating memory
and registering callbacks.

- Fix #99: Memory leak in ub_ctx (event_base will never be freed).

Add new configure option `--enable-fully-static` to enable full static build if
requested; in relation to #91.

Changelog note for #97.
- Merge #97: manpage: Add missing word on unbound.conf,
  from Erethon.

Merge pull request #97 from Erethon/master

manpage: Add missing word on unbound.conf

manpage: Add missing word on unbound.conf

- drop-tld.diff: adds option drop-tld: yesno that drops 2 label
  queries, to stop random floods.  Apply with
  patch -p1 < contrib/drop-tld.diff and compile.
  From Saksham Manchanda (Secure64).  Please note that we think this
  will drop DNSKEY and DS lookups for tlds and hence break DNSSEC
  lookups for downstream clients.

Cleanup some minor things in dynlibmod

Add support for multiple dynamic modules

Allows the use of multiple dynamic modules. Simply add more "dynlib"
entries to the "modules-config" and the same amount of "dynlib-file"
entries in the dynlib configuration block.

Improve dynlib module and add documentation

Dynamic library module is now only a thin wrapper that loads dynamic
libraries and forwards all function calls directly to the loaded module.
This meant adding get_mem and clear, and get_mem calls have been added
in the expected places.

Documentation has also been added to the example.conf and the
unbound.conf manpage.

Add dynamic library support

- Add doxygen comments to unbound-anchor source address code, in #86.

For #86, note credit for Lukas Wunner.

Changelog entry for #86 and whitespace fix.
- Merge #86 from psquarejho: Added -b source address option to
  smallapp/unbound-anchor.c.

Merge pull request #86 from psquarejho/master

Added -b / source address option to smallapp/unbound-anchor.c

- Merge 1.9.4 release with fix for vulnerability CVE-2019-16866.
- Continue with development of 1.9.5.

Merge remote-tracking branch 'origin/branch-1.9.4'

Branch 1.9.4 prepares for 1.9.4 release from 1.9.3

Changelog entry for Merge #90.
- Merge #90 from vcunat: fix build with nettle-3.5.

Merge pull request #90 from vcunat/p/nettle-3.5

fix build with nettle-3.5

fix build with nettle-3.5

https://git.lysator.liu.se/nettle/nettle/commit/8bf4747d9

Changelog note for #87.
- Merge #87 from hardfalcon: Fix contrib/unbound.service.in,
  Drop CAP_KILL, use + prefix for ExecReload= instead.

Merge pull request #87 from hardfalcon/patch-1

Drop CAP_KILL, use + prefix for ExecReload= instead

Drop CAP_KILL, use + prefix for ExecReload= instead

CAP_KILL seems a bit too much privileges for the sole purpose of being able to make ExecReload= work.
Use the + prefix on ExecReload= instead to run "/bin/kill -HUP $MAINPID" with full privileges, ignoring the restrictions from CapabilityBoundingSet=.

See https://www.freedesktop.org/software/systemd/man/systemd.service.html#ExecStart= for further details about the + prefix in ExecReload=.

- The unbound.conf includes are sorted ascending, for include
  statements with a '*' from glob.

Added -b / source address option to smallapp/unbound-anchor.c

Changelog entry for fix #84 and #85.
- Merge #85 for #84 from sam-lunt: Add kill capability to systemd
  service file to fix that systemctl reload fails.

Merge pull request #85 from sam-lunt/add-cap-kill

Add kill capability to systemd service file

Add kill capability to systemd service file

The ExecReload command calls kills on a process owned by the unbound user (or whatever user is configured). To do so, it needs the CAP_KILL capability.

Changelog entry for #83
- Merge #83 from Maryse47: contrib/unbound.service.in: do not fork
  into the background.

Merge pull request #83 from Maryse47/nofork

unbound.service.in: do not fork into the background

unbound.service.in: do not fork into the background

This is needed when unbound config doesn't set "do-daemonize: no" by itself otherwise starting service fails with:
 systemd[1]: unbound.service: Got notification message from PID <PID>, but reception only permitted for main PID which is currently not known

https://github.com/NLnetLabs/unbound/blob/release-1.9.3/doc/example.conf.in#L236

Changelog entry for #81.
- Merge #81 from Maryse47: Consistently use /dev/urandom instead
  of /dev/random in scripts and docs.

Merge pull request #81 from Maryse47/urandom

Consistently use /dev/urandom instead of /dev/random in scripts and docs

(Changelog entry for #82).
- Merge #82 from hardfalcon: Downgrade CAP_NET_ADMIN to CAP_NET_RAW
  in unbound.service.

Merge pull request #82 from hardfalcon/patch-1

Downgrade CAP_NET_ADMIN to CAP_NET_RAW in unbound.service

Downgrade CAP_NET_ADMIN to CAP_NET_RAW in unbound.service

Since kernel 3.2, CAP_NET_RAW instead of CAP_NET_ADMIN is sufficient to allow for the usage of the IP_TRANSPARENT socket option. CAP_NET_ADMIN allows far more mayhem then CAP_NET_RAW, so prefer the safer, more restrictive solution.

Consistently use /dev/urandom instead of /dev/random in scripts and docs

Unbound code call /dev/urandom (see below)  but various docs and scripts
mention /dev/random which may be confusing.

https://github.com/NLnetLabs/unbound/blob/release-1.9.3/compat/arc4random.c#L107
https://github.com/NLnetLabs/unbound/blob/release-1.9.3/compat/getentropy_linux.c#L251
https://github.com/NLnetLabs/unbound/blob/release-1.9.3/compat/getentropy_osx.c
https://github.com/NLnetLabs/unbound/blob/release-1.9.3/compat/getentropy_solaris.c#L116

- Merge #80 from stasic: Improve wording in man page.
(Changelog entry for merge)

Merge pull request #80 from stasic/patch-1

Improve wording in man page

Improve wording in man page

Make it more consistent throughout the man page.
If a config option can either be *yes* or *no* use exact these terms and not something like *on* which could be easily read as *no*.

- Fix wrong response ttl for prepended short CNAME ttls, this would
  create a wrong zero_ttl response count with serve-expired enabled.

- Fix for oss-fuzz build warning.

- Fix fix for #78 to also free service callback struct.

- oss-fuzz badge on README.md.

- Merge pull request #76 from Maryse47: Improvements and fixes for
  systemd unbound.service.
(Changelog note for merge of #76).

Merge pull request #76 from Maryse47/patch-1

Improvements and fixes for systemd unbound.service

- Fix #78: Memory leak in outside_network.c.

Improvements and fixes for systemd unbound.service

1. Remove `ProtectKernelTunables=true`: This prevents various with socket options from working as shown below.
`unbound[] warning: so-rcvbuf 1048576 was not granted. Got 425984. To fix: start with root permissions(linux) or sysctl bigger net.core.rmem_max(linux) or kern.ipc.maxsockbuf(bsd) values.`

2. Add `CAP_NET_ADMIN` to available caps which is needed for `ip-transparent: yes` config option to work as shown below.
`unbound[] warning: setsockopt(.. IP_TRANSPARENT ..) failed: Operation not permitted`

3. Make `ReadWritePaths` less permissive: `UNBOUND_SYSCONF_DIR` equals to `sysconfdir` which usually equals to `/etc` and `UNBOUND_LOCALSTATE_DIR` equals to `localstatedir` which usually equals to `/var`. Allowing write access for those dirs shouldn't be needed. The only dirs unbound should be allow to write to are `/run` ( for pidfile), `@UNBOUND_RUN_DIR@` (for chroot) and `@UNBOUND_CHROOT_DIR@` in case it differs from the previous one.

4. Bind-mount `/run/systemd/notify`, `UNBOUND_PIDFILE`, `/dev/log`, `/dev/urandom` in order to use them inside chroot.

5. Add few extra hardening options: `RestrictNamespaces`, `LockPersonality` and `RestrictSUIDSGID` should be safe to use.

- Use explicit bzero for wiping clear buffer of hash in cachedb,
  reported by Eric Sesterhenn from X41 D-Sec.

Typo fix, reported by jpmens

Merge branch 'master' into rpz

- Merge clean up
- revert dname2str off by one fix
- fix str2dname off by one at right location

Merge remote-tracking branch 'ralph/feature/rpz' into rpz

- Fix #72: configure --with-syslog-facility=LOCAL0-7 with default
  LOG_DAEMON (as before) can set the syslog facility that the server
  uses to log messages.

- Fix #71: fix openssl error squelch commit compilation error.

- squelch DNS over TLS errors 'ssl handshake failed crypto error'
  on low verbosity, they show on verbosity 3 (query details), because
  there is a high volume and the operator cannot do anything for the
  remote failure.  Specifically filters the high volume errors.

- updated Makefile dependencies.

- ipset: refactor long routine into three smaller ones.

- ipset module #28: log that an address is added, when verbosity high.

- Master is 1.9.4 in development.

Don't pass along unused parameter

 - add always_deny action, use this one for RPZ
 - use localzone's memory layout when removing rr from rrset

- Fix contrib/fastrpz.patch asprintf return value checks.