Merge pull request #14078 from rgacogne/ddist-harvest-quic

dnsdist: Use the correct source IP for outgoing QUIC datagrams

Merge pull request #14076 from rgacogne/ddist-update-tuning-design-doc-for-doq-doh3

dnsdist: Update tuning/design documentation for DoQ and DoH3

Merge pull request #14104 from rgacogne/ddist-fix-abort-nghttp2_session_mem_recv

dnsdist: Fix a crash in incoming DoH with nghttp2

Merge pull request #14062 from franklouwers/patch-1

rec: Remove `current` from the extended error code binding descriptions

Merge pull request #14023 from omoerbeek/rec-proxy-physaddr

rec: add interface (not subject to proxy protocol substitutions) addresses in Lua DNSQuestion and corresponding FFI

Better wording in docs from @rgacogne

Co-authored-by: Remi Gacogne <github@coredump.fr>

dnsdist: Fix a crash in incoming DoH with nghttp2

This fixes an issue in the code dealing with incoming DNS over HTTPS
queries with the nghttp2 provider. In some rare cases, if the incoming
query is forwarded to the backend over TCP and the response comes back
immediately (the `read()` call done just after the `write()` call sending
the query must succeed and yield a complete response), the processing
of the response might end up calling `IncomingHTTP2Connection::readHTTPData()`
down the line, via the `nghttp2` callbacks, while we were already
inside this function. This does not actually work because
`nghttp2_session_mem_recv` is not reentrant, so the internal state of
the `nghttp2_session` object might become inconsistent and trigger
an assertion, for example:
```
nghttp2_session.c:6854: nghttp2_session_mem_recv2: Assertion `iframe->state == NGHTTP2_IB_IGN_ALL' failed.
```

This results in a call to `abort()` and very unlikely to be exploitable,
because there is no memory corruption occurring. It would also be quite
difficult for an attacker to trigger the conditions leading to this event
remotely.

Reported by Daniel Stirnimann from Switch and Stephane Bortzmeyer, many thanks to them.

Merge pull request #14102 from Habbie/2024-02-formatting

security advisory 2024-02: fix formatting

Merge pull request #14100 from Habbie/rec-cname-wc

rec: a name can be present already when building the cname chain

security advisory 2024-02: fix formatting

Merge pull request #14099 from Habbie/rec-prep-sec-2024-02

security advisory 2024-02+changelogs+secpoll

Merge pull request #14075 from romuald/backend-guide-clarification

Add clarification on backend writer guide

Merge pull request #14083 from rgacogne/fix-dnsdist-and-rec-home-dirs

dnsdist/rec: Change home directory to /var/lib/<product> on EL-based OSs

rec: Fix home directory location comment in the EL spec

dnsdist: Fix home directory location comment in the EL spec

Merge pull request #14037 from rgacogne/ddist-fix-odr

dnsdist: Fix "C++ One Definition Rule" warnings in XSK

Merge pull request #14070 from rgacogne/ddist-fix-dns-over-http-reload-all-certs

dnsdist: Fix DNS over plain HTTP broken by `reloadAllCertificates()`

Better wording

Co-authored-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #14049 from omoerbeek/rec-no-count-unsup-algos

rec: do not count RRSIGs using unsupported algorithms towards RRSIGs limit

Merge pull request #13772 from mortenstevens/patch-1

Change home directory to /var/lib/pdns

Merge pull request #14068 from omoerbeek/meson-libdecaf-followup

meson: don't assume libdecaf is present when declaring dependency

Prep for Security Advisory 2024-02

rec: Change home directory to /var/lib/pdns-recursor on EL-based OSs

dnsdist: Change home directory to /var/lib/dnsdist on EL-based OSs

auth: Remove trailing tab in builder-support/specs/pdns.spec

dnsdist: Fix clang-tidy warnings

dnsdist: Add regression for destination address harvesting with QUIC

dnsdist: Use the correct source IP for outgoing QUIC datagrams

And expose the correct destination IP to Lua.

dnsdist: Update tuning/design documentation for DoQ and DoH3

Add clarification on backend writer guide

For `getBeforeAndAfterNamesAbsolute()`, in case of proof of non
existence for a type (and not the name), the requested name should be
returned, **not** the name before it.

dnsdist: Fix DNS over plain HTTP broken by `reloadAllCertificates()`

This was introduced in 1.9.0, with the use of the `nghttp2` library
for incoming DNS over HTTP(S).

Merge pull request #14066 from PowerDNS/dependabot/pip/regression-tests.ixfrdist/dnspython-2.6.1

build(deps): bump dnspython from 2.1.0 to 2.6.1 in /regression-tests.ixfrdist

Merge pull request #14064 from PowerDNS/dependabot/pip/docs/idna-3.7

build(deps): bump idna from 3.4 to 3.7 in /docs

Merge pull request #14063 from PowerDNS/dependabot/pip/pdns/keyroller/idna-3.7

build(deps): bump idna from 3.4 to 3.7 in /pdns/keyroller

Merge pull request #14041 from rgacogne/ddist-fix-crash-tcp-downstream

dnsdist: Fix a crash in the Downstream TCP handler

Merge pull request #14050 from omoerbeek/dnsdist-syslog-default

dnsdist: syslog should be enabled by default

meson: don't assume libdecaf is present when declaring dependency

build(deps): bump dnspython in /regression-tests.ixfrdist

Bumps [dnspython](https://github.com/rthalley/dnspython) from 2.1.0 to 2.6.1.
- [Release notes](https://github.com/rthalley/dnspython/releases)
- [Changelog](https://github.com/rthalley/dnspython/blob/main/doc/whatsnew.rst)
- [Commits](https://github.com/rthalley/dnspython/compare/v2.1.0...v2.6.1)

---
updated-dependencies:
- dependency-name: dnspython
  dependency-type: direct:production
...

Signed-off-by: dependabot[bot] <support@github.com>

build(deps): bump idna from 3.4 to 3.7 in /docs

Bumps [idna](https://github.com/kjd/idna) from 3.4 to 3.7.
- [Release notes](https://github.com/kjd/idna/releases)
- [Changelog](https://github.com/kjd/idna/blob/master/HISTORY.rst)
- [Commits](https://github.com/kjd/idna/compare/v3.4...v3.7)

---
updated-dependencies:
- dependency-name: idna
  dependency-type: indirect
...

Signed-off-by: dependabot[bot] <support@github.com>

build(deps): bump idna from 3.4 to 3.7 in /pdns/keyroller

Bumps [idna](https://github.com/kjd/idna) from 3.4 to 3.7.
- [Release notes](https://github.com/kjd/idna/releases)
- [Changelog](https://github.com/kjd/idna/blob/master/HISTORY.rst)
- [Commits](https://github.com/kjd/idna/compare/v3.4...v3.7)

---
updated-dependencies:
- dependency-name: idna
  dependency-type: indirect
...

Signed-off-by: dependabot[bot] <support@github.com>

Update dq.rst

Remove `current` from the dq.extendedError* docs. Keeping `current` suggests it's a read-only field

Merge pull request #14055 from fredmorcos/meson-systemd-services

Meson: `pdns-auth` and `ixfrdist` systemd service files

Merge pull request #14056 from romeroalx/revert-changes-13907

Revert "gh actions: wo issue 9491 - actions/runner-images"

Revert "gh actions: wo issue 9491 - actions/runner-images"

This reverts commit e0bf314e472d0c1d4bc1ff82d97cabf87be1e929.

Meson: Support pdns-auth and ixfrdist service files

Service files are treated like a config.h.in file. This adds support for a common base of
service file configuration options containing basic systemd feature checks.

Then, each of pdns-auth and ixfrdist have their own "general" and "instance" service files
that are generated from a common service file. This is why things like @Description@,
@ConfigName@ and @Config@ are made generic so that each version of the service file can
use it own string.

Meson: Add systemd feature support for service files

This moves things around a bit. Moves libsystem detection to
meson/libsystem/meson.build and uses meson/systemd/meson.build for
systemd/systemctl version and feature detection

Meson: Add basic support for systemd service file

Meson: Add system build flag

Merge pull request #14011 from Habbie/check-zone-svcb-lua-addr

pdnsutil check-zone: accept LUA A/AAAA as SVCB address targets

Merge pull request #14047 from zeha/s390xauth

auth dnsproxy: fix build on s390x

rec: do not count RRSIGs using unsupported algorithms toward RRSIGs limit

dnsdist: syslog should be enabled by default

Regression introduced with the logging refactoring of dnsdist.

In rel/dnsdist-1.8.x: https://github.com/PowerDNS/pdns/blob/4d5bb67a2a75f9d88894e7dfc42bbbebfda297b0/pdns/dnsdist.cc#L103 :

bool g_syslog{true};

In master and 1.9.x the newly intrdoduced LoggingConfiguration::s_syslog
is inited to false.

This does not matter using the default systemd unit file as it disables syslog:

ExecStart=@bindir@/dnsdist --supervised --disable-syslog

but it does matter for non-systemd cases.

Merge pull request #14044 from romeroalx/remove-yq-snap

GH Actions: Remove yq snap dependency in collect job, workflow `build-and-test-all`

Use consistent terminology in the proxy mapping docs

Name the values "interface_localaddr" and "interface_remoteaddr" instead of "phys_..."

auth dnsproxy: fix build on s390x

Add test for cname already present for the forward case

Merge pull request #14042 from rgacogne/ddist-1.9.3-secpoll-changelog

dnsdist: Update secpoll and ChangeLog for 1.9.3

gh actions - replace yq snap in collect job build-and-test-all

rec: a name can be present already when building the cname chain

dnsdist: Update secpoll and ChangeLog for 1.9.3

dnsdist: Fix a crash in the Downstream TCP handler

when we are looking for an existing TCP connection to a backend to
reuse, we routinely (every 60s by default) clean up existing
connections from the cache.
7b5f590ee72fecf54c0c40b24e98ba03a406af53 removes a connection
from the cache more aggressively when it has failed, but I did not
notice that the same function might be called from the cache cleaning
algorithm. It caused the cache cleanup function to call this function
which in turns tried to remove the connection from the same cache,
invalidating the iterator of the cache algorithm, and causing a crash
when the function returned.

dnsdist: Fix "C++ One Definition Rule" warnings in XSK

It turns out we need to include the linux specific headers AFTER the
regular ones, because it then detects that some types have already been
defined (`sockaddr_in6` for example) and does not attempt to re-define
them, which otherwise breaks the C++ One Definition Rule

Merge pull request #14032 from rgacogne/ddist-192-changelog-secpoll

dnsdist: Update ChangeLog and secpoll for DNSdist 1.9.2

Merge pull request #14030 from rgacogne/enable-leak-detection-unit-tests

ci: Enable LeakSanitizer during dnsdist and recursor unit tests

Merge pull request #14034 from rgacogne/ddist-document-console-key-format

dnsdist: Document how to generate a console key without dnsdist

Merge pull request #14025 from omoerbeek/stat_t-tidy

stat_t tidy

Merge pull request #14026 from omoerbeek/rec-docs-no-query-cache

rec docs: we do not have a query cache

Merge pull request #14035 from fredmorcos/meson-fix-lmdb-gettime

Meson fix: `lmdb-safe` needs gettime

pdnsutil check-zone: accept LUA A/AAAA as SVCB address targets

dnsdist: Document the `-C /dev/null` trick to generate a key as well

As suggested by @phonedph1 (thanks!).

Merge pull request #14033 from rgacogne/auth-remotebackend-unit-tests-leak

auth: Use smart pointers in the remote backend unit tests

Meson: Fix lmdb-safe needs gettime

Merge pull request #14031 from fredmorcos/meson-fix-libdecaf-detection

Meson fix for `libdecaf` detection

dnsdist: Document how to generate a console key without dnsdist

auth: Use smart pointers in the remote backend unit tests

Merge pull request #13960 from cmouse/remote-unit-test

Convert remotebackend unit tests to use python

Meson: Integrate libdecaf library and header detection

dnsdist: Update ChangeLog and secpoll for DNSdist 1.9.2

Meson: Rework libdecaf header file detection

Merge pull request #13980 from karelbilek/d_xfr

Do shuffle TCP responses except *XFRs

Meson: Improve (and fix) libdecaf detection

fix typo

Merge pull request #13596 from eli-schwartz/configure-correctness

configure.ac fixup: do not require bash

Meson: Use include_directories for pgsqlbackend

Merge pull request #14029 from rgacogne/auth-pkcs11-finalize-modules

auth: Properly finalize PKCS11 modules before releasing them

Merge pull request #14028 from rgacogne/auth-backend-factories

auth: Wrap backend factories in smart pointers

ci: Enable LeakSanitizer during dnsdist and recursor unit tests

We need to fix some one-time allocations in the authoritative server
that are reported as leaked memory before we can enabled it there.
See:
- https://github.com/PowerDNS/pdns/pull/14028
- https://github.com/PowerDNS/pdns/pull/14029

There is also a leak in the remotebackend unit tests that I will
investigate after https://github.com/PowerDNS/pdns/pull/13960 has
been merged.

auth: Properly finalize PKCS11 modules before releasing them

This gets rid of two leaks reported by LeakSanitizer when running our
unit tests:
```
Direct leak of 48 byte(s) in 1 object(s) allocated from:
    #0 0x5fe6c6e7d099 in malloc (/pdns/pdns/testrunner+0x220099) (BuildId: 08d4c369b5f2f19f183aa5d6ab931a6653b70ab9)
    #1 0x7e6cdc6a0964  (/usr/lib/libp11-kit.so.0+0x36964) (BuildId: 307da6c0b5c7d87a1b0fd0a63e0bda93c9375e8a)
    Indirect leak of 72 byte(s) in 1 object(s) allocated from:
    #0 0x5fe6c6e7d401 in calloc (/pdns/pdns/testrunner+0x220401) (BuildId: 08d4c369b5f2f19f183aa5d6ab931a6653b70ab9)
    #1 0x7e6cdc6a09b6  (/usr/lib/libp11-kit.so.0+0x369b6) (BuildId: 307da6c0b5c7d87a1b0fd0a63e0bda93c9375e8a)
```

auth: Wrap backend factories in smart pointers

tasks: Dump all remotebackend logs, including server logs

tasks: Replace ruby with python

remotebackend: Remove stray files

remotebackend: Convert regression tests to python

remotebackend: Convert unit tests to python

remotebackend: Do not send extra NUL with zeromq

remotebackend: Use asString for serial

remotebackend: Fix example.com ID

It is going to be 3, not 2.

rec docs: we do not have a query cache

A few type fixes, mostly cosmetical