cache: move setting EDE "Stale Answer" to the the serve_stale module.

It is not guaranteed yet that the request will finish in state DONE.
This prevents other EDE codes from being applied to the request and in
case the request ends in FAIL state it produces a SERVFAIL answer with
EDE "Stale Answer", which is a bit weird.
Move setting EDEs in answer_finalize in the serve_stale module, where
the proper EDE in case of NXDOMAIN is set too.

Merge !1591: modules/stats add answer.stale

modules/stats: add answer.stale

Merge !1588: validator: avoid clearing EDE if request didn't actually fail

validator nit: move validate_wrapper() to a better place

validator: avoid clearing EDE if query didn't actually fail

Merge !1576: views: improve interaction with old-style policies

views: improve interaction with old-style policies

i.e. respect the old chain-rule notion in this case.
... because why not, and someone wanted to use it this way already.

Logically it makes sense in some cases, but I still implore to prefer
6.x -style rules where possible, as e.g. the interations are better.

Merge !1585: daemon,lib: sync EDE codes supported by libknot 3.3

{daemon,lib}: sync EDE codes supported by libknot.

Adds the following extended error codes:
  * 25 (Signature Expired before Valid): KNOT_EDNS_EDE_EXPIRED_INV
  * 26 (Too Early): KNOT_EDNS_EDE_TOO_EARLY
  * 27 (Unsupported NSEC3 Iterations Value): KNOT_EDNS_EDE_NSEC3_ITERS
  * 28 (Unable to conform to policy): KNOT_EDNS_EDE_NONCONF_POLICY
  * 29 (Synthesized): KNOT_EDNS_EDE_SYNTHESIZED

Merge !1589: iterator: fix handling of ANY queries and != IN classes.

NEWS+comment for the parent commit

iterator: fix handling of ANY queries and != IN classes.

It was supposed to answer NOTIMP, but was returning FAIL instead of
DONE and so the answer was SERVFAIL.

Also added EDE code "Not Supported" for clarity.

Merge branch 'poe-configure-old-meson' into 'master'

manager/scripts/meson-configure: fix setup for old Meson

See merge request knot/knot-resolver!1584

doc/dev/manager-dev-env: clarifications and advanced setup

manager/scripts/meson-configure: fix setup for old Meson

This fixes first-time setup for Meson pre-1.1.0.

Merge !1586: lib: fix typo in generated doc for log group "zoncut"

lib: fix typo in generated doc for log group "zoncut".

Setting log_groups({ 'zonecut' }) just leads to a warning and no
"zone cut" logging shown.

Merge branch 'proxyv2-tcp-fix' into 'master'

daemon/proxyv2: fix client TCP/TLS + merge state structs

See merge request knot/knot-resolver!1578

Update NEWS

daemon/proxyv2: fix client TCP/TLS + merge state structs

Firstly, this adds a missing assignment of `comm->proxy`, which would
cause the resolver not to know that a client asked via TCP/TLS, if the
proxy also asked via TCP/TLS.

Secondly, it merges `struct pl_proxyv2_sess_data` and
`struct pl_proxyv2_iter_data` into a single `struct pl_proxyv2_state`,
since they were practically the same. And it adds a bit of documentation
to the struct.

Merge branch 'meson-jemalloc-auto' into 'master'

meson: make -Dmalloc=auto more clever

See merge request knot/knot-resolver!1583

meson: make -Dmalloc=auto more clever

Merge !1581: bench/bench_lru: make it build again, and check it in CI

bench/bench_lru: make it build again, and check it in CI

It's not too important, but I just stumbled upon this and it looked like
nobody has touched it in a long time. Since it's not completely broken
(the fix is trivial), I decided to fix it and add it to CI to ensure
that we can still build it. Maybe `lru` will be used some more at some
point again in the future...

Merge branch 'doc-dev-update' into 'master'

doc/dev: various updates

See merge request knot/knot-resolver!1580

doc/dev/build.rst: decycle the dependency with README.md + nits

doc/dev: misc nits

doc/dev: update the dependency/distro section

Also drop mention of OBS, as it's not really relevant anymore.

doc/dev: kill remnants of our pre-meson build system

Merge branch 'doc-dev-update' into 'master'

doc/dev: changed libknot version in Building with Meson documentation to 3.3.0+

See merge request knot/knot-resolver!1579

doc/dev: removed outdated requirements from Knot Resolver library

doc/dev: changed libknot version in Building with Meson documentation to 3.3.0+

Merge branch 'manager-tls-session-ticket-secret' into 'master'

manager: secret for TLS session resumption via ticket

See merge request knot/knot-resolver!1567

manager: secret for TLS session resumption via ticket

Create and set a secret for TLS session resumption via ticket that is the same for all running 'kresd' workers. This secret is only created if the user has not configured the secret themselves.

Merge branch 'pkg-artifacts' into 'master'

.gitlab-ci: expose packages from pkgtest as artifacts

See merge request knot/knot-resolver!1573

.gitlab-ci: pkg: add Fedora 40, remove Fedora 38

.gitlab-ci: expose packages from pkgtest as artifacts

Merge branch 'launchpad-fix' into 'master'

distro/pkg/deb: use $(shell pwd) to fix LaunchPad fails

See merge request knot/knot-resolver!1575

distro/pkg/deb: use $(shell pwd) to fix LaunchPad fails

Merge branch 'release-6.0.8' into 'master'

Release 6.0.8

See merge request knot/knot-resolver!1572

manager/tests/packaging: better kdig check

Merge: mitigate TCP flooding DoS opportunity

distro/pkg/arch: update deps and maintainers

release 6.0.8

release 6.0.8

NEWS changes:
 - collect missing items
 - reduce newlines; we'd need to change the layout around
 - improve a link
 - add packaging information
 - move some things around a bit

doc+NEWS for the buffering changes

daemon/tls: proper clean up of queued protolayer contexts

daemon/session2: use kr_strerror for logging error states

daemon/session2: add special event for OS buffer depletion

For the future, when we need to account for this for e.g. QUIC, which
will need to handle this in the UDP case.

daemon: proper connection closures on queue overflow

daemon/lua: bind `the_network` into lua

Because why not.  It's easy and it might become useful one day.

> (require 'ffi').C.the_network.tcp.user_timeout
1000

daemon: set options on sockets towards clients (optionally)

daemon: drop user-space buffering for sockets

Merge !1562: lib/rules: fix a bug in subnet computations

lib/rules subnet_encode(): improve doc-comments

lib/rules nit: missing `static` for a function

lib/rules: fix a bug in subnet computations

The problem mainly affected subnets not aligned on whole bytes,
but maybe also others.  Reported:
https://lists.nic.cz/hyperkitty/list/knot-resolver-users@lists.nic.cz/message/6P2JPK72WMVLP45TDV42DTACEA2N5NW2/

I'm really sorry about this; no idea why I thought that the simple
multiplication would suffice.

Merge branch 'kresctl-convert-policy-loader' into 'master'

kresctl: add generation of policy-loader Lua script

See merge request knot/knot-resolver!1569

kresctl: add generation of policy-loader Lua script

Merge branch 'manager-ci-pkg-fix' into 'master'

manager: utils: timeout fix for unix-socket http request

See merge request knot/knot-resolver!1568

manager/utils/request.py: use self.timeout in UnixHTTPConnection

Merge !1566: treewide nit: avoid NULL arithmetics

treewide nit: avoid NULL arithmetics

(u)intptr_t casts seem the best in terms of compliance:
https://stackoverflow.com/q/45220134/587396

Otherwise with clang 18 we can get warnings like
 ../$path:$line:$col: runtime error: applying non-zero offset $num to null pointer
 SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior ../$path:$line:$col

Merge branch 'drop-libknot-3.2' into 'master'

drop libknot <=3.2.x support

See merge request knot/knot-resolver!1565

drop libknot <=3.2.x support

.gitlab-ci: use newer Knot for make-archive

Dockerfile: upgrade to Debian 12 and newest Knot DNS

drop libknot 3.0.x support

- Upstream last maintained 3.0.x in summer 2022.
- Our packaging shouldn't be affected, neither the new one, nor OBS.
- If someone updates resolver, it shouldn't be too hard
  to update libknot as well.
- Maintenance on resolver side still needed effort for kres-gen-30.lua

Merge branch 'manager-instability-handling' into 'master'

manager: recovery from 'policy-loader' failure during reload

See merge request knot/knot-resolver!1563

manager: config_store: renew with old config

manager: 'policy-loader' removed from  watched subprocesses

manager: run policy-loader with old config when instability detected

Merge !1564: master-5 branch into master

Merge remote-tracking branch 'origin/master-5' into master

Merge branch 'separate-policy-kresd' into 'master'

manager: policy-loader: new process for loading policy rules separately

See merge request knot/knot-resolver!1540

manager: fixed error message for 'max-workers' change denial

manager: reset the workers policy rules only when necessary

Basically, the reset is necessary when only the policy rules have changed and there is no need to update the workers config.

manager: loading policy rules is now done in the verifier callback

The main reason for this is to load the policies before the canary worker starts, making it a prerequisite for starting the workers.

manager: load policy rules on any configuration change

manager: config_store: only_on_real_changes renamed to only_on_real_changes_update

manager: start canary process only on real changes

manager: config_store: only on real changes decorator for verifiers

manager: controller: sd_notify: handle 'STOPPING=1' notification

manager: wait for 'policy-loader' to finish on the resolver startup

When starting the resolver, we wait for policy-loader until policy rules are successfully loaded into the cache where the rules are shared between kred workers. After that, other processes are started. Otherwise, the workers might start without the configured rules in the cache while they are already resolving DNS traffic.

manager: controller: getting SubprocessStatus from particular Subprocess

datamodel: types: IPNetwork: __eq__ added

lib/rules: tweak how the read-only transactions work

Let's avoid reloading the RO transaction unless necessary.
For example, when normal config reload happens (one kresd at a time),
we most likely do *not* want to reload the rule DB prematurely.

doc/dev: architecture update and improvements

doc: architecture schemas improvements

NEWS: update about policy-loader

manager: controller: SubprocessStatus.EXITED added

manager: apply policy config separately

manager: controller: policy-loader program added

manager: controller: new SubprocessType for loading policy added

datamodel: templates: don't clear policy DB in kresd workers

lib/rules kr_rules_init(): allow not overwriting the DB

datamodel: check for unused tags during config validation

datamodel: templates: policy config moved out of the kresd worker config

Merge branch 'tls-client-error-log' into 'master-5'

daemon/tls: print IP when failing certificate check

See merge request knot/knot-resolver!1560