Fix copied code

(cherry picked from commit e4f772ceb545a883d4683d34dff0a38e023f98ee)

Minimal fix to make primeHints threadsafe

(cherry picked from commit e863a05ab7566450710f8cdc2c08750f00bcde33)

Merge pull request #6202 from aerique/bugfix/backport-6167

rec: Initialize the result var before calling the preoutquery hook

Merge pull request #6201 from aerique/bugfix/backport-6137

rec: Don't validate signature for "glue" CNAME

Merge pull request #6200 from aerique/bugfix/backport-6095

rec: Pass the correct buffer size to arecvfrom()

Merge pull request #6199 from aerique/bugfix/backport-6092

 rec: Fix the computation of the closest encloser for positive answers #6092

Merge pull request #6198 from aerique/bugfix/backport-6085

rec: Don't process records for another class than IN

rec: Initialize the result var before calling the preoutquery hook

If the `preoutquery` hook was defined but didn't handle the query,
the resulting variable was left uninitialized.

(cherry picked from commit 17cecc84cc0e9f7b1dc9991e2568d1f8f4fc2b08)

rec: Add unit tests to make sure we correctly detect an unsigned DS

(cherry picked from commit f100caacf6b5fe6624aa3909ad6cb988d7f22148)

rec: Don't validate signature for "glue" CNAME

Anything else than the initial CNAME can't be considered authoritative.

(cherry picked from commit 933299e88c46fdc1cf8c64ff9bf11e6839686a94)

rec: Don't stop the reactor in the regression tests

So, there is one and only one global reactor for every test suites,
ever, and you can't restart it if you stop it (see the awful
`ReactorNotRestartable` exception).
That doesn't prevent you from adding new ports to listen on to the
existing one, so let's just start if it isn't already running and
never stop it.

(cherry picked from commit fbfaa4a7ee59829cbf2d3765a3a967edb823bb39)

rec: Add regression tests for UDP outgoing buffer size

(cherry picked from commit fb611f07566e08adf31c374e6453a6494df7d696)

rec: Pass the correct buffer size to arecvfrom()

The size we used to pass to arecvfrom() along with our buffer was off by
one byte, resulting in the last byte of our buffer to be uninitialized for
answers exactly matching our outgoing buffer size. Since we passed the
correct size to MOADNSParser, we were reading one bye of unitialized
memory for such answers.
This caused issue with some authoritative servers sending an answer of our
exact buffer size, causing a parsing error. We would then retry without EDNS,
causing DNSSEC validation failures for some domains on such authoritative
servers.

(cherry picked from commit 4185f0895fbda41e8ffa21f39721db1f018a3466)

rec: Switch the exception thrown by `getDenial()` to a `PDNSException`

(cherry picked from commit dfbe5d76143f9227b287555ca0df9216f2f544d1)

rec: Fix the computation of the closest encloser for positive answers

When the positive answer is expanded from a wildcard with NSEC3,
the closest encloser is not always parent of the qname, depending
on the number of labels in the initial wildcard.

(cherry picked from commit e4894ce07a529e174b542d20eae327a026e171e8)

rec: Don't process records for another class than IN

(cherry picked from commit c5310862fe5d5813d9533e6e1a73ef512ca5044f)

Merge pull request #6140 from Habbie/4.1.x-travis-jan2018

rec 4.1.x: travis fixes/improvements

fix recursor prequery scripts

(cherry picked from commit c1feb3a819ac425fe535d8c21c0d0f79c6fbf069)

limit builds to recursor only

Merge pull request #6041 from rgacogne/mplexer-time

Add the missing <sys/time.h> include to mplexer.hh for struct timeval

Add the missing <sys/time.h> include to mplexer.hh for struct timeval

Merge pull request #6023 from rgacogne/dnsdist-ebpf-doc

dnsdist: Add missing documentation about ClientState, eBPF dynamic filters

Merge pull request #5956 from job/priv_drop

Priv drop

Merge pull request #6034 from Habbie/ragel-path

centralise ragel check+remove .cc symlink

Merge pull request #6032 from rgacogne/rec-getrr-cleanup

rec: Use getRR<T>() instead of directly using a dynamic cast

remove spurious symlink

centralise ragel check

Merge pull request #6020 from rgacogne/auth-testrunner-log

Travis: Display the content of the logs when the auth unit tests fail

Merge pull request #6025 from pieterlexis/fix-changelog-blog-url

Fix 4.1.0 changelog blog url

Merge pull request #6026 from pieterlexis/update-EOL

[WIP] Update auth EOL statement on Auth

Merge pull request #6027 from rgacogne/rec-regression-tests-rpz-ttl

rec: Normalize the TTLs for default.example.net. in the RPZ tests

Merge pull request #6029 from Habbie/alias-nocompress

forbid label compression in ALIAS wire format

rec: Use getRR<T>() instead of directly using a dynamic cast

forbid label compression in ALIAS wire format

fixes #6028

Merge pull request #6024 from Habbie/builder-version

add preliminary pdns-builder support

add explicit 3.x statement, clarify we offer commercial support beyond EOL.

rec: Normalize the TTLs for default.example.net. in the RPZ tests

Since we ask for several records that are CNAME to default.example.net.
the TTL might have been decreased by the time we get to the last ones.
That's fine, the TTL we are interested in are for other records, so we
can just ignore the TTL for this exact record.

Fix 4.1.0 changelog blog url

add preliminary pdns-builder support

dnsdist: Add missing documentation about ClientState, eBPF dynamic filters

Merge pull request #6016 from aerique:feature/update-auth-4.1.0-changelog.

Update changelog and secpoll for 4.1.0.

Travis: Display the content of the logs when the auth unit tests fail

Merge pull request #6006 from rgacogne/nixu-5.3.4

rec: Sanitize values received from the API before writing them to the conf

Merge pull request #6011 from ahupowerdns/quote-server-id

quote server-id to hosts with - or . in their name get reported again

Merge pull request #6015 from Habbie/id.server

it's id.server, not server.id

nit

Merge pull request #6000 from rgacogne/rec-authzone-validation

rec: Skip validation (including cached entries) for auth zones

Merge pull request #6001 from zeha/secpoll-servfail

recursor secpoll: improve message on timeout

Merge pull request #6009 from rgacogne/rec-zone-part-signer

rec: When validating DNSKeys, the zone should be part of the signer

Merge pull request #6008 from rgacogne/ecdsa-error-leak

rec:  Don't leak when the loading a public ECDSA key fails

Merge pull request #6007 from rgacogne/auth-web-readonly-ops

auth: Deny cache flush, zone retrieve and notify if the API is RO

fix tab & {}

quote server-id. This stops us from breaking serving chaos txt id.server if your server has a dash or a dot or an underscore in its name.

Merge pull request #5997 from rgacogne/rec-additional-val

rec: Store additional records as non-auth, even on AA=1 answers

Merge pull request #6004 from pieterlexis/rm-old-soa-edit

Remove deprecated SOA-EDIT values

Merge pull request #5617 from Habbie/ednsflags

fix reading of ednsflags in recursor testing

doc: Fix a typo in PowerDNS Advisory 2017-04

rec: Sanitize values received from the API before writing them to the conf

auth: Deny cache flush, zone retrieve and notify if the API is RO

Fix a memory leak when loading an RSA key with an invalid modulus

Don't leak when the loading a public ECDSA key fails

rec: When validating DNSKeys, the zone should be part of the signer

do not demand a DO reply to a non-DO query

Remove deprecated SOA-EDIT values

Update auth EOL statement

Merge pull request #5916 from pieterlexis/rm-wiki

Documentation additions so we can rid of the wiki

Merge pull request #5990 from jannyg/patch-2

Adds description of add-record

recursor secpoll: improve message on timeout

Fix secpoll

Fix changelog syntax

Merge pull request #5999 from aerique/advisories-2017

Add advisories 2017-03, 2017-04, 2017-05, 2017-06 and 2017-07.

rec: Skip validation (including cached entries) for auth zones

Update security advisory links in secpoll

read ednsflags instead of flags

rec: Store additional records as non-auth, even on AA=1 answers

We used to store additional records in AA=1 answers as auth. In addition
to being wrong, it also broke DNSSEC validation if the record was stored
as Indeterminate because while we take care of not validating additional
records when processing an answer, we have no way of knowing in which
section a record was originally located when we retrieve it from the cache.
When an answer becomes too big to fit in the requester UDP payload,
rfc4035 allows the sender to keep records in the additional section
while omitting the corresponding RRSIGs, without setting the TC bit.

Add release date, security advisories to the changelogs

Added description of add-record

Added description of add-record with options to man-pages

Update secpoll

Add advisories 2017-03, 2017-04, 2017-05, 2017-06 and 2017-07

make notify.cc compile again

Merge pull request #5953 from pieterlexis/auth-405-rec-407-changelog

Add Authoritative Server 4.0.5 and Recursor 4.0.7 changelogs + secpoll

clarify that dnsdist latency averages are in microseconds

Merge pull request #5970 from 42wim/burst

dnsdist: Add burst option to MaxQPSIPRule

Update auth 4.0.5 and rec 4.0.7 changelogs with recent backports

Add secpoll for auth 4.0.5 and rec 4.0.7

Add Recursor 4.0.7 changelog

Add Authoritative Server 4.0.5 changelog

Merge pull request #5978 from rgacogne/rec-negcache-referral-to-unsigned

rec: Fix DNSSEC validation of DS denial from the negative cache

Merge pull request #5980 from rgacogne/rec-denial-validation-caching

rec: Cache Secure validation state when inserting negcache entries

Merge pull request #5964 from pieterlexis/api-crypto-key-consistency

API: Make the /cryptokeys endpoint consistently use CryptoKey objects

Merge pull request #5976 from Habbie/soa-unsetdnsname

report remote IP when SOA query comes back with empty question section

Merge pull request #5954 from pieterlexis/cherry-pick-script

Add two scripts: one to backport PRs and one to generate changelogs

Merge pull request #5972 from rgacogne/rec-dump-neg-status

rec: Dump the validation status of negcache entries, fix DNSSEC type

Merge pull request #5968 from pieterlexis/api-rectify-transaction

Fix hang when PATCHing zone during rectify

Merge pull request #5958 from pieterlexis/centos-7-ship-dnsdist-multi-instance

Packages: Ship dnsdist multi-instance files

Fix typo

rec: Cache Secure validation state when inserting negcache entries

Fix a bug that prevented Secure negative cache entries to be marked
as such when they were first inserted, marking them as Indeterminate
instead. This would require us to validate them a second time for no
valid reason.

rec: Fix DNSSEC validation of DS denial from the negative cache

There is two reasons you can get a proper DS denial:
* Secure to insecure cut, and if we are getting a referral with a
DS denial, we know that we have to check that the NS bit is set
as described in section 8.9 of rfc5155
* No zone cut inside a secure zone, and then of course the NS is
not set

When we retrieve the DS denial from the negative cache with a
validation status of Indeterminate, most likely because validation
was not enabled during the query that landed it in the cache, we
don't have enough data to know which case we are looking at, so
let's just skip the NS check.

report remote IP when SOA query comes back with empty question section

this improves the #5974 situation a bit

Merge pull request #5971 from rgacogne/rec-getdsrecords-erased-it

rec: Fix the use of a deleted iterator in SyncRes::getDSRecords()