treewide: fix lower-casing of NSEC next name

Merge branches 'regression-fix' and 'master'

daemon/worker: cleanup errors; missed packet source

Merge !453: merge tag 'v1.5.2', bringing security fixes

Merge tag 'v1.5.2', bringing security fixes

security release 1.5.2

validator nitpick: remove a useless dead store

Discovered by clang scan.

validator: fix NSEC* + delegation -> NXDOMAIN

validator: fix NSEC* -> NODATA

Merge branch 'misc-fix' into 'master'

daemon/worker: worker_process_tcp: cleanup

See merge request knot/knot-resolver!452

daemon/worker: worker_process_tcp: cleanup; there are no need in special processing for qr_task_step return code

cache: fix answers from wildcards

Also make the control flow more readable and tweak comments.

cache: fix CNAME on DS query

Merge branch 'cdn-mozilla' into 'master'

layer/iterate: forwarding; repeat query to upstream if SERVFAIL\REFUSE has been received

See merge request knot/knot-resolver!451

layer/iterate: forwarding; repeat query to upstream if SERVFAIL\REFUSE has been received

Merge branch 'dockerfile-add-flake8' into 'master'

ci: add flake8 to Dockerfile

See merge request knot/knot-resolver!449

ci: docker - add flake8, remove infer

We do not use Infer after all (see MR !435) so it does not make sense to
have it in the image.

Merge branch 'assert-cleanup' into 'master'

daemon/worker: clean up some unnecessary asserts

See merge request knot/knot-resolver!450

daemon/worker: clean up some unnecessary asserts

cache: assertion nitpicks

fixup! treewide: safer structure literals and initialization

TMP Merge branch 'valid-nxdomain' into cache-aggr-wip

Merge branch 'tls_polish' into 'master'

TLS polish

See merge request knot/knot-resolver!447

Merge branch 'master' into valid-nxdomain

Conflicts: lib/dnssec/nsec3.c

TLS: make GnuTLS priorities compatible with CentOS 7 and Debian 9

gnutls-3.3.26-9.el7.x86_64 and libgnutls30-3.5.8-5+deb9u3 do not support
@SYSTEM keyword and CentOS 7 has problem with -VERS-DTLS-ALL.

We do not configure DTLS sockets so it should be harmless to delete
the DTLS keyword.

@SYSTEM is replaced by NORMAL, oh well.

fixup! TLS client: enforce minimal TLS version and no compression

TLS client: enforce minimal TLS version and no compression

Same change as in a625a0ea1ce03b0707fd421633f21c0aacb786da but for
client.

TLS server: enforce minimal TLS version and no compression

Server side now enforces security requirements from
draft-ietf-dprive-dtls-and-tls-profiles-11 section 9

TLS: use constants for GnuTLS return codes

GnuTLS manual for some functions do not declare that error return code
must be negative, so we should use constants to avoid potential
problems.

TLS client: fix certificate loading from file

gnutls_certificate_set_x509_trust_file could theoretically return 0
to indicate nothing was read, so we need to check for this as well.

Merge !448: daemon: tls forwarding; fix IO error processing

daemon: tls forwarding; fix erroneus task processing when io errors occur

Merge branch 'tmpfiles-create-cache' into 'master'

tmpfiles: create cache and use proper tmpfiles name

See merge request knot/knot-resolver!440

tmpfiles: create cache and use proper tmpfiles name

Merge branch 'tls_tests' into 'master'

policy TLS_FORWARD: add checks and documentation

See merge request knot/knot-resolver!445

policy TLS_FORWARDING: rename pin to pin_sha256

The pin parameter contains SHA-256 encoded using Base64, but this is not
the only option. Explicit name allows us to add alternative formats
later on, and is consistent with GnuTLS naming.

policy TLS_FORWARD: documentation improvements

policy TLS_FORWARD: add documentation

policy TLS_FORWARD: unify logging format

policy TLS_FORWARD: fix error reporting from net.tls_client()

policy TLS_FORWARD: check parameters from user

Policy handling was split into smaller functions to allow easier
checking. The code needs further refactoring, it seems that
net_tls_client is just a thin wrapper around tls_client_params_set in C,
which is unnecessary and error prone.

policy TLS_FORWARD: improve error reporting for invalid parameters

tests: add config tests for TLS_FORWARD

Apparently some corner cases are not handled properly.
We need to fix these in follow-up patches.

cache pkt: relax an assertion

I _think_ (pkt->parsed != pkt->size) didn't catch all KNOT_EMALF cases.

Merge branch 'cleanup-errors' into 'master'

fix some errors found by static analyzer

See merge request knot/knot-resolver!446

CI: tweak scan-build configuration

Clang right now does not support cleanup attribute which is causing
false positives, so the check is now disabled.
https://bugs.llvm.org/show_bug.cgi?id=3888

At the same time I've enabled all other checkers to see what happens. We
need to go though them and disable them one-by-one if necessary.

treewide: safer structure literals and initialization

Based on C99 this was OK, see 6.7.8.19, 6.5.2.5.6 and 6.7.8.10.
Still, e.g. gcc 5.4 and 6.2 were mis-compiling some cases of this under
certain conditions (-O0), causing hard-to-track bugs.  I've been unable
to find a problem in 5.5, 6.4 and 7.2 or older clang, but let's be on
the safer side nevertheless.

daemon/main: refactored keyfile initialization from main()

this helps avoid false positive leaks caused by combination of
cleanup functions and goto

refs #291

lib/dnssec: variable declaration close to intended to avoid dead stores

daemon/worker: fixed missing return value check

daemon/engine: fixed missing ret

daemon: fixed potential leak - cleanup not being called on longjmp

attribute cleanup (auto_free) gets called when variable goes out of
scope, not on longjmp (in lua_error), so the variable never gets freed

Merge branch 'dockerfile-add-static-analysis-tools' into 'master'

Dockerfile: add static analysis tools

See merge request knot/knot-resolver!444

cache entry_rr: fix two simple lint warnings

The first might have lead to a segfault
(not sure ATM, depends on callers).

fix two trivial lint warnings

utils knot_dname_lf2wire: fix a lint warning

cache: another debugging check

Dockerfile: add static analysis tools

WIP: fixing counterparts of the validator problems

TODO: re-check, do tests, etc.

TMP Merge branch 'valid-nxdomain' into cache-aggr-wip

validator nitpick: remove a useless dead store

Discovered by clang scan.

validator: fix NSEC* + delegation -> NXDOMAIN

validator: fix NSEC* -> NODATA

cache: basic preparation for stale-serving

Merge branch 'tls-hs-timeout' into 'master'

daemon: TLS-handshake timeout timer was not properly activated; fix

See merge request knot/knot-resolver!441

daemon: TLS-handshake timeout timer was not properly activated; fix

Merge branch 'stricter-ci-build' into 'master'

ci: add -Werror to CFLAGS, added clang build target

See merge request knot/knot-resolver!432

lint: enabled several readability linters and fixed issues

this checks things such as inconsistent declarations and definitions

daemon: fixed garbage read when getsockname fails

lib: fixed possible null pointers passed to nonnull arguments

daemon: fixed minor linter problems

client: fixed minor linter problems

lib: fixed minor linter issues in lib

lib/defines: analyzable implementation for kr_error()

build: support `make lint-c` with clang-tidy

This supports linting of C code using clang-tidy to fix common
security and code quality issues early in the development workflow.
The benefit is that less time has to be spent in code reviews to
point out obvious problems, and ideally when the outstanding issues
are fixed, clang-tidy (and clang-format) can also be used to to
automatically fix basic problems and enforce common code style,
similarly to `go vet && go fmt` workflow.

ci: add -Werror to CFLAGS, added clang build target

Merge branch 'clang' into 'master'

fixup! CI: add Clang scan-build to the pipeline

See merge request knot/knot-resolver!438

fixup! CI: add Clang scan-build to the pipeline

Forgot to `git add` Dockerfile with Clang tools.

Merge branch 'systemd-modifications' into 'master'

Systemd modifications

See merge request knot/knot-resolver!436

systemd: add knot-resolver alias

The `knot-resolver` name is used for paths and user name. Creating a
systemd alias with the same name is user-friendly to end users who won't
have to remember another name (`kresd`).

Note: Systemd Alias is only created after service is enabled. Packagers
are thus advised to create symlinks for unit files during package installation
so users can use `knot-resolver` name right from the start.

systemd: use persistent cache by default

The /run directory is non-persistent. Use /var/cache/knot-resolver
as a persistent cache.

README: remove trailing whitespace

Merge branch 'clan-scan-build' into 'master'

CI: add Clan scan build to pipeline

See merge request knot/knot-resolver!437

CI: add Clang scan-build to the pipeline

For now error produced by scan-build are not fatal.
We need to fix these first.

CI: use images from local registry

Merge branch 'fix-systemd-service' into 'master'

systemd: drop WantedBy directive from kresd.service

See merge request knot/knot-resolver!433

systemd: drop WantedBy directive from kresd.service

This directive is unnecessary in the .service file, and it also causes
a dependency cycle that systemd is obliged to break.

Since kresd is socket-activated, there is no need for the WantedBy
directive in the .service file itself.  As long as the .socket files
are installed, the service will run when it is used.

cache: nitpicks and comments

Merge branch 'systemd-enable-manual-activation' into 'master'

systemd: enable manual activation of kresd.service as non-root user

See merge request knot/knot-resolver!434

systemd: enable manual activation of kresd.service as non-root user

To be able to bind to a well known port as a non-root user, the CAP_NET_BIND_SERVICE
capability is required.

Merge !431: daemon: fix clang warnings

daemon: fix clang warnings

cache get_lowest_rank: cleaner code

Merge branch 'sim_qry' into 'master'

outbound TCP connections sharing; TLS over outbound TCP connections

Closes #104

See merge request knot/knot-resolver!379

daemon: avoid memory leaks under heavy load when using tls over outgoing tcp connection

daemon: kresd fall into endless loop in some circumstances when tls is used; fix

daemon/tls_ephemeral_credentials: avoid some memory leaks

daemon: explicit processing of UV_EOF within stream read callback function

TLS: only print [tls] messages if --verbose

modules/policy: TLS defaults to port 853

modules/policy: local variable declarations were fixed; cleanup