- Fix contrib/fastrpz.patch to apply cleanly.

- Fix streamtcp to print packet data to stdout.  This makes the
  stdout and stderr not mix together lines, when parsing its output.

- Fix lock dependency cycle in rpz zone config setup.

- Fix libnettle compile for session ticket key callback function
  changes.

Merge branch 'jcourreges-align-cmsg-buffers'

- Merge PR #234 - Ensure proper alignment of cmsg buffers by Jérémie
  Courrèges-Anglas.
- Fix PR #234 log_assert sizeof to use union buffer.

Merge branch 'align-cmsg-buffers' of https://github.com/jcourreges/unbound into jcourreges-align-cmsg-buffers

- Fix unused variable warning for clang analyzer.

- Fix check conf test for referencing installation paths.

- Changelog entry for PR #265; include-toplevel.

Merge pull request #265 from NLnetLabs/include-toplevel

Introduce include-toplevel configuration option; closes #161.

Merge branch 'master' into include-toplevel

Change unbound-dnstap-socket void cast for unused parameter

- Add changelog entry for bidirectional frame streams support.

Merge pull request #264 from NLnetLabs/fstrm-bidi

Bidirectional frame streams support

correct byte count in comment

remove unused define

dnstap log message typo fix

Log dnstap connection close due to unknown content type.

- Ignore unknown frame streams control fields.

- Handle SSL_ERROR_WANT_WRITE on SSL_read for negotiation
- Close connection when receiving overly large frame

Merge branch 'master' into include-toplevel

Add maximum to received frame streams frames.

Merge branch 'master' into fstrm-bidi

- Add option to send DNSTAP messages over bidirectional frame streams

- Fix to use SSL_CTX_set_tlsext_ticket_key_evp_cb in OpenSSL
  3.0.0-alpha4.
- Longer keys for the test set, this avoids weak crypto errors.

- Fix add missing DSA header, for compilation without deprecated
  OpenSSL APIs.

- Review fixes for checkconf #259 change.

- Fix #259: Fix unbound-checkconf does not check view existence.
  unbound-checkconf checks access-control-view, access-control-tags,
  access-control-tag-actions and access-control-tag-datas.
- Fix offset of error printout for access-control-tag-datas.

- run_vm cleanup better and removes trailing slash on single argument.

- Fix tcp req info drop due to size call into mesh accounting
  removal of mesh state during mesh send reply.

- Review fix for number of detached states due to use of variable
  after end of loop.

- Fix for mesh accounting when rpz decides to drop a reply with a
  tcp stream waiting for it.

- Also move reply list clean for mesh callbacks to the scrip callback
  can see the reply_info.
- Fix for mesh accounting if the reply list already empty to begin
  with.

- Move reply list clean for serve expired mesh callback to after
  the reply is sent, so that script callbacks have reply_info.

- doxygen file comments for dynlibmodule.

- iana portlist updated.

- Fix display of event loop method with libev.

- Fix default explanation in man page for qname-minimisation-strict.

- Mention tls name possible when tls is enabled for stub-addr in the
  man page.

- Changelog entry for PR #241.

Merge pull request #241 from edmonds/edmonds/libunbound.pc/do-not-use-requires

contrib/libunbound.pc.in: Do not use "Requires:"

contrib/libunbound.pc.in: Do not use "Requires:"

This commit updates contrib/libunbound.pc.in to remove the "Requires:"
directive and move its contents to "Requires.private:".

The pkg-config manpage documents the Requires/Libs fields as follows:

   Requires:
          This is a comma-separated list of packages that are required  by
          your package. Flags from dependent packages will be merged in to
          the flags reported for your package. Optionally, you can specify
          the  version  of the required package (using the operators =, <,
          >, >=, <=); specifying a version allows  pkg-config  to  perform
          extra  sanity  checks. You may only mention the same package one
          time on the Requires: line. If the version of a package  is  un‐
          specified, any version will be used with no checking.

   Requires.private:
          A list of packages required by this package. The difference from
          Requires is that the packages listed under Requires.private  are
          not  taken into account when a flag list is computed for dynami‐
          cally linked executable (i.e., when --static was not specified).
          In  the  situation where each .pc file corresponds to a library,
          Requires.private shall be used exclusively to specify the depen‐
          dencies between the libraries.

   Libs:  This  line  should give the link flags specific to your package.
          Don't add any flags for required packages; pkg-config  will  add
          those automatically.

   Libs.private:
          This line should list any private libraries in use.  Private li‐
          braries are libraries which are not  exposed  through  your  li‐
          brary,  but  are needed in the case of static linking. This dif‐
          fers from Requires.private in that it references libraries  that
          do not have package files installed.

In other words:

1) "Requires:" should specify the name of .pc packages that are required
to be installed to compile and dynamically link against libunbound. This
corresponds to needing the -dev (or -devel) package containing the .pc
file to be installed on the system. Since libunbound's header files
actually do not have any includes on any other library's headers, the
"Requires:" directive should be empty.

2) "Requires.private:" specifies the name of .pc packages that
correspond to libraries that are required to be installed to statically
link against libunbound. E.g., if libunbound.a has undefined symbols
event_* that are in libevent.a, statically linking against libunbound.a
requires statically linking libevent.a, and because libevent has a .pc
file, this means "libevent" should appear in libunbound.pc's
"Requires.private:" directive.

3) "Libs:" specifies the link flags needed to link against libunbound,
only, not including any dependencies.

4) "Libs.private:" specifies the link flags needed to statically link
against libraries that libunbound depends on that do not have .pc files.
I think it's possible for unbound's build system to actually declare
link flags under "Libs.private:" for some libraries that do have .pc
files (e.g. libcrypto/-lcrypto, libssl/-lssl, for OpenSSL) but in
practice this appears to be harmless.

Given #1 above that libunbound does not have any header dependencies
against any other packages it does not appear that "Requires:" is needed
at all. See https://bugs.debian.org/958331 for an example of a bug
report that this causes. We should not need to install the nettle-dev
package only for building binaries that compile against the libunbound
headers and link against the libunbound library.

- Update contrib/aaaa-filter-iterator.patch for the recent
  generate_sub_request() change and to apply cleanly.

- Fix for integer overflow when printing RDF_TYPE_TIME.

- For PR #93: unit test for dynlib module.

- For PR #93: windows compile warnings removal
- windows compile warnings removal for ip dscp option code.

- Release 1.10.1 is 1.10.0 with fixes, code repository continues,
  including those fixes, towards the next release.  Configure has
  version 1.10.2 version number in it.

- CVE-2020-12662 Unbound can be tricked into amplifying an incoming
  query into a large number of queries directed to a target.
- CVE-2020-12663 Malformed answers from upstream name servers can be
  used to make Unbound unresponsive.

- For PR #93: fix link of other executables for dynlibmod dependency.

- For PR #93: man page spelling reference fix.

- For PR #93: checkconf allows python dynlib in module-config, for
  a couple cases.

- For PR #93: checkconf allow multiple dynlib in module-config, for
  a couple cases.

- For PR #93: dynlibmod can handle reloads and deinit and inits again,
  with dlclose and dlopen of the library again.  Also for multiple
  modules.  Fix memory leak by not closing dlopened content.  Fix
  to allow one dynlibmod instance by unbound-checkconf.

- For PR #93: Fix warnings for dynlibmodule.

- Fixed conflicts for PR #93 and make configure, yacc, lex.

Merge branch 'PMunch-master'

Merge branch 'master' of git://github.com/PMunch/unbound into PMunch-master
Fixed conflicts in Makefile.in and configparser.y

- Cache ECS answers with longest scope of CNAME chain.

Ensure proper alignment of cmsg buffers

The cmsg macros expect a control message buffer to be aligned like
a struct cmsghdr.  The current layout around those stack-allocated
buffers probably provides the required alignment (usually 4 bytes).
Use a union to enforce proper alignment, in case future changes modify
the stack layout.

Spotted when chasing an unrelated bug with Otto Moerbeek (@omoerbeek).

- New include directive 'include-toplevel:'.  It closes the previous
  clause (if any) and requires that all included files explicitly
  start a clause.

- Explicitly use 'rrset-roundrobin: no' for test cases.

- Fix tests for new rrset-roundrobin default.

Changelog note for PR #225
- Merge #225 from akhait: KSK-2010 has been revoked. It removes the
  KSK-2010 from the default list in unbound-anchor, now that the
  revocation period is over.  KSK-2017 is the only trust anchor in
  the shipped default now.

Merge pull request #225 from akhait/master

KSK-2010 has been revoked

KSK-2010 has been revoked

- Change default value for 'rrset-roundrobin' to yes.

- Remove unneeded was_mesh_reply check.

- Fix for count of reply states in the mesh.

Fix that it is --enable-rpath, for #222.

- Fix #222: --with-rpath, fails to rpath python lib.

- Document SNI support in unbound-anchor.8.in.

- Update Changelog for PR #221.

Merge pull request #221 from NLnetLabs/more-SNI

More SNI support on TLS

- Enable SNI by default in unbound-anchor.

Revert "- Remove SNI support from unbound-anchor; TLS is used only for"

This reverts commit 9d197eb11061c2a7d805c9de5f411b425a030f05.

Server-side software may use SNI to pick the correct virtual host.

- Remove SNI support from unbound-anchor; TLS is used only for
  encryption and not validation.

- Add SNI support on more TLS connections (fixes #193).
- Add SNI support to unbound-anchor.

- Add doxygen documentation for DSCP.

- Fix for posix shell syntax for trap in run_msg.sh test script.

- Fix for posix shell syntax for trap in nsd-control-setup.

Merge branch 'master' of github.com:NLnetLabs/unbound

- Fix help return code in unbound-control-setup script.

- Fix #220: auth-zone section in config may lead to segfault.

- Merge PR #214 from gearnode: unbound-control-setup recreate
  certificates.  With the -r option the certificates are created
  again, without it, only the files that do not exist are created.

Merge pull request #214 from gearnode/idempotent-nsd-unbound-setup

unbound-control-setup recreate certificates

fix unbound-control-setup is not idempotent

- Keep track of number of timeouts. Use this counter to determine if capsforid
  fallback should be started.

- More documentation for redis-expire-records option.

Merge branch 'Talkabout-redis-expire-records'

- Changes for PR #206 (formatting and remade lex and yacc output).

Merge branch 'master' of https://github.com/Talkabout/unbound into Talkabout-redis-expire-records

changed init logic of redis backend as per review request

implemented review feedback
renamed option from 'redis-set-ttl' to 'redis-expire-records'

added option 'redis-set-ttl' to define whether ttl should be added to redis records
added check for redis command 'setex' when initializing redis connection
updated documentation
minor improvements to previous changes

- Merge PR #208: Fix uncached CLIENT_RESPONSE'es on stateful
  transports.

Merge pull request #208 from NLnetLabs/bugfix/dnstap-client-response-on-stateful-transports

Fix uncached CLIENT_RESPONSE'es on stateful transports

Send tcp_req_info->spool_buffer as dnstap CLIENT_RESPONSE

When tcp_req_info exists. This fixes that dnstap CLIENT_RESPONSE messages did not contain the response message when answering on statful transport for uncached responses.

Fix uncached CLIENT_RESPONSE'es on stateful transports

Because repinfo->c->buffer does not contain the response when the it did not came from cache.
Only after tcp_req_info_send_reply is called, is the response on the buffer which is used to fill the dnstap protobuf's.

nroff fix for dash.