dns_rdata_tostruct() should reject rdata with DNS_RDATA_UPDATE set

(cherry picked from commit e97249e01270ab43065e3a7d6ba3f5a36593a2c4)

Check opcode of messages returned by dns_request_getresponse

(cherry picked from commit ed4e00713fa52d361b2bbf0eeae80a6da7323255)

Merge branch 'mnowak/replace-literal-blocks-with-anchors-v9_11' into 'v9_11'

[v9_11] Use anchors instead of literal blocks in .gitlab-ci.yml

See merge request isc-projects/bind9!5280

Use anchors instead of literal blocks in .gitlab-ci.yml

Anchor lets the user see the full command logged in GitLab CI:

    ${CONFIGURE} --disable-maintainer-mode --enable-developer ...

Instead of a folded multi-line when literal block is used:

    ${CONFIGURE} \ # collapsed multi-line command

(cherry picked from commit c22008629ec7c5decd80fe233cd507fbce993fe6)

Merge branch 'marka-xmllint-html-v9_11' into 'v9_11'

Check for errors in html files

See merge request isc-projects/bind9!5244

Check for errors in html files

xmllint doesn't know about the HTML 5 <section> tag so filter
those out.

(cherry picked from commit ea0624b214638cb8b2ac1f1c4ac8ef3fd44bfb32)

Merge branch '2667-configuration-issues-on-solaris-11-4' into 'v9_11'

Resolve "Configuration issues on Solaris 11.4"

See merge request isc-projects/bind9!4996

Solaris native compiler configure fixes

* Drop '-mt' from '$CC'
* Use '$CC -V' for version in summary

add gssapi_hack, gssapi_krb5_hack and gssapi_krb5_hack to krb5-config

add --with-gssapi=krb5-config to pairwise

check for gssapi_krb5.h and gssapi/gssapi_krb5.h

have --with-gssapi={auto|yes} try krb5-config

don't fallback if krb5-config fails

handle krb5-config not being present; drop krb5 from krb5-config call

Merge branch '2183-enable-DF-on-old-socket-code-v9_11' into 'v9_11'

Disable the PMTUD also for the IPv6 UDP sockets

See merge request isc-projects/bind9!5233

Disable the PMTUD also for the IPv6 UDP sockets

Disable the PMTUD also on the IPv6 UDP sockets in addition to IPv4 UDP
sockets.

Merge branch 'mnowak/alpine-3.14-v9_11' into 'v9_11'

[v9_11] Add Alpine Linux 3.14

See merge request isc-projects/bind9!5193

Add Alpine Linux 3.14

(cherry picked from commit 80f828bc3741ee3ba304b5d36dd1f79fc2ad77c1)

Merge branch 'v9_11_33-release' into 'v9_11'

Merge 9.11.33 release branch

See merge request isc-projects/bind9!5188

Set up release notes for BIND 9.11.34

Bump BIND_BASELINE_VERSION for ABI checks

Merge branch 'prep-release' into v9_11_33-release

Merge branch 'michal/prepare-documentation-for-bind-9.11.33' into 'v9_11_33-release'

Prepare documentation for BIND 9.11.33

See merge request isc-private/bind9!301

prep 9.11.33

Prepare release notes for BIND 9.11.33

Merge branch 'ondrej/bump-clang-dependency-to-llvm-12-v9_11' into 'v9_11'

Change the LLVM tools version to 12 (v9.11)

See merge request isc-projects/bind9!5176

Change the LLVM tools version to 12

LLVM 12 stable was released on 15. April 2021, change the default
version to the current stable.

(cherry picked from commit 9f7855322c763a1ae509eeaa2b8be83be5c180ce)

Merge branch '2540-check-dname-resolution-via-itself-v9_11' into 'v9_11'

[v9_11] Check DNAME resolution via itself

See merge request isc-projects/bind9!5137

Check DNAME resolution via itself

(cherry picked from commit cbdea694e84e9ce7d112dd64230c8d1e2208b211)

Merge branch '2467-add-a-system-test-checking-a-malformed-ixfr-v9_11' into 'v9_11'

[v9_11] Add a system test checking a malformed IXFR

See merge request isc-projects/bind9!5134

Add a system test checking a malformed IXFR

Make sure an incoming IXFR containing an SOA record which is not placed
at the apex of the transferred zone does not result in a broken version
of the zone being served by named and/or a subsequent crash.

(cherry picked from commit 5547003a3d41f42f9c086d959e0e5df4240ccd4d)

Merge branch 'mnowak/add-fedora-34-v9_11' into 'v9_11'

[v9_11] Add Fedora 34

See merge request isc-projects/bind9!5114

Add Fedora 34

(cherry picked from commit 5f27aaa0ff3c471a8a90340f2fe5eb62e43571ab)

Merge branch 'mnowak/install-bind-by-setting-DESTDIR-v9_11' into 'v9_11'

[v9_11] Install BIND with "make DESTDIR=<PATH> install"

See merge request isc-projects/bind9!5092

Install BIND with "make DESTDIR=<PATH> install"

BIND installation should be done by setting $DESTDIR during "make
install", not by setting --prefix via ./configure to the destination
directory. However, on 9.11 --prefix still needs to be set to eliminate
the compatibility mode with older BIND9 releases (see the comment in
configure.ac, lines 379-396), which does not place sysconfdir and
localstatedir to $DESTDIR/$prefix but directly to $DESTDIR. When
--prefix is set they end up in $DESTDIR/$prefix, which is the BIND 9.16+
default).

    $ ./configure && make && make install DESTDIR=/tmp/bind9
    $ ls /tmp/bind9/{,usr/local}
    /tmp/bind9/:
    etc  usr  var
    /tmp/bind9/usr/local:
    bin  include  lib  sbin  share

    $ ./configure --prefix=/usr/local && make && make install DESTDIR=/tmp/bind9
    $ ls /tmp/bind9/{,usr/local}
    /tmp/bind9/:
    usr
    /tmp/bind9/usr/local:
    bin  etc  include  lib  sbin  share  var

Make sure that installation with DESTDIR=<PATH> works by checking that
named binary and it's respective man page were installed and that
well-known BIND9 directories - and only them - are present in DESTDIR.

Also rename install path variable from BIND_INSTALL_PATH to
INSTALL_PATH to avoid namespace clash in stress tests which use
BIND_INSTALL_PATH variable to configure path to BIND9 binaries.

(cherry picked from commit 823bf3e79ba8f287b63d2e6ec5006d091c8c54e8)

Merge branch 'ondrej/replace-ubuntu-xenial-with-ubuntu-bionic-v9_11' into 'v9_11'

Replace Ubuntu 16.04 LTS with Ubuntu 18.04 LTS in the GitLab CI (v9.11)

See merge request isc-projects/bind9!5089

Replace Ubuntu 16.04 LTS with Ubuntu 18.04 LTS in the GitLab CI

Ubuntu 16.04 (Xenial Xerus) is reaching End of Standard Support in April
2021 thus we are removing it from the list of supported platforms and
replacing it with Ubuntu 18.04 LTS (Bionic Beaver).

(cherry picked from commit 4402a90bb770a77a36a35ce25a69872c8a34c56b)

Merge branch 'mnowak/freebsd-13-v9_11' into 'v9_11'

[v9_11] Add FreeBSD 13.0

See merge request isc-projects/bind9!5087

Run gcc:tarball CI job for merge requests

Running gcc:tarball CI job for merge requests is consistent with how we
run gcc:out-of-tree CI job and should help identify problems with the
build system during the review process, not once merged during daily
runs. For the sake of time, unit and system tests associated with the
gcc:tarball CI job are excluded from merge requests.

Also, make sure that the tarball-create CI job includes the
default_triggering_rules anchor (as it is on the main branch), otherwise
adding the gcc:tarball CI job to merge request-triggered pipeline fails
with:

    Found errors in your .gitlab-ci.yml: 'gcc:tarball' job needs 'tarball-create' job but it was not added to the pipeline

(cherry picked from commit 83617cea9a7ac4b877b0874d041d21d80eb36fac)

Do not spawn FreeBSD 11 CI jobs in merge requests

(cherry picked from commit 70eccd29526cbfab7b3032072dddbe37201ed254)

Create an anchor for schedules, tags, and web rules

It's a common pattern to spawn CI jobs only for pipelines triggered by
schedules, tags, and web. There should be an anchor so that the rules
are not repeated.

(cherry picked from commit e4f88c359c85c2f084901289e3406c80674368ff)

Add FreeBSD 13.0

(cherry picked from commit 0714fe6f40456bc6cfb6797f39d592a718670db6)

Merge branch '2452-iterated_hash-c-warning-argument-1-of-type-unsigned-char-20-with-mismatched-bound' into 'v9_11'

Fix argument with mismatched bound in isc_iterated_hash()

See merge request isc-projects/bind9!5039

Fix argument with mismatched bound in isc_iterated_hash()

GCC 11 produced the following warning:

    iterated_hash.c:21:33: warning: argument 1 of type ‘unsigned char[20]’ with mismatched bound [-Warray-parameter=]
       21 | isc_iterated_hash(unsigned char out[ISC_SHA1_DIGESTLENGTH],
          |                   ~~~~~~~~~~~~~~^~~~~~~~~~~~~~~~~~~~~~~~~~
    In file included from iterated_hash.c:18:
    ./include/isc/iterated_hash.h:33:37: note: previously declared as ‘unsigned char[155]’
       33 | int isc_iterated_hash(unsigned char out[NSEC3_MAX_HASH_LENGTH],
          |                       ~~~~~~~~~~~~~~^~~~~~~~~~~~~~~~~~~~~~~~~~

Merge branch '2453-sha2-c-warning-argument-with-mismatched-bound' into 'v9_11'

Fix arguments with mismatched bound in lib/isc/sha2.c

See merge request isc-projects/bind9!5038

Fix arguments with mismatched bound in lib/isc/sha2.c

GCC 11 produced the following warnings:

    sha2.c:888:26: error: argument 1 of type ‘uint8_t[]’ {aka ‘unsigned char[]’} with mismatched bound [-Werror=array-parameter=]
      888 | isc_sha224_final(uint8_t digest[], isc_sha224_t *context) {
          |                  ~~~~~~~~^~~~~~~~
    In file included from sha2.c:58:
    ./include/isc/sha2.h:132:24: note: previously declared as ‘uint8_t[28]’ {aka ‘unsigned char[28]’}
      132 | void isc_sha224_final (uint8_t[ISC_SHA224_DIGESTLENGTH], isc_sha224_t *);
          |                        ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    sha2.c:1151:26: error: argument 1 of type ‘uint8_t[]’ {aka ‘unsigned char[]’} with mismatched bound [-Werror=array-parameter=]
     1151 | isc_sha256_final(uint8_t digest[], isc_sha256_t *context) {
          |                  ~~~~~~~~^~~~~~~~
    In file included from sha2.c:58:
    ./include/isc/sha2.h:139:24: note: previously declared as ‘uint8_t[32]’ {aka ‘unsigned char[32]’}
      139 | void isc_sha256_final (uint8_t[ISC_SHA256_DIGESTLENGTH], isc_sha256_t *);
          |                        ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    sha2.c:1514:31: error: argument 1 of type ‘uint8_t[]’ {aka ‘unsigned char[]’} with mismatched bound [-Werror=array-parameter=]
     1514 | void isc_sha512_final(uint8_t digest[], isc_sha512_t *context) {
          |                       ~~~~~~~~^~~~~~~~
    In file included from sha2.c:58:
    ./include/isc/sha2.h:153:24: note: previously declared as ‘uint8_t[64]’ {aka ‘unsigned char[64]’}
      153 | void isc_sha512_final (uint8_t[ISC_SHA512_DIGESTLENGTH], isc_sha512_t *);
          |                        ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    sha2.c:1567:26: error: argument 1 of type ‘uint8_t[]’ {aka ‘unsigned char[]’} with mismatched bound [-Werror=array-parameter=]
     1567 | isc_sha384_final(uint8_t digest[], isc_sha384_t *context) {
          |                  ~~~~~~~~^~~~~~~~
    In file included from sha2.c:58:
    ./include/isc/sha2.h:146:24: note: previously declared as ‘uint8_t[48]’ {aka ‘unsigned char[48]’}
      146 | void isc_sha384_final (uint8_t[ISC_SHA384_DIGESTLENGTH], isc_sha384_t *);
          |                        ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    sha2.c:1604:44: error: argument 2 of type ‘char[]’ with mismatched bound [-Werror=array-parameter=]
     1604 | isc_sha224_end(isc_sha224_t *context, char buffer[]) {
          |                                       ~~~~~^~~~~~~~
    In file included from sha2.c:58:
    ./include/isc/sha2.h:133:39: note: previously declared as ‘char[57]’
      133 | char *isc_sha224_end (isc_sha224_t *, char[ISC_SHA224_DIGESTSTRINGLENGTH]);
          |                                       ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    sha2.c:1645:44: error: argument 2 of type ‘char[]’ with mismatched bound [-Werror=array-parameter=]
     1645 | isc_sha256_end(isc_sha256_t *context, char buffer[]) {
          |                                       ~~~~~^~~~~~~~
    In file included from sha2.c:58:
    ./include/isc/sha2.h:140:39: note: previously declared as ‘char[65]’
      140 | char *isc_sha256_end (isc_sha256_t *, char[ISC_SHA256_DIGESTSTRINGLENGTH]);
          |                                       ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    sha2.c:1686:44: error: argument 2 of type ‘char[]’ with mismatched bound [-Werror=array-parameter=]
     1686 | isc_sha512_end(isc_sha512_t *context, char buffer[]) {
          |                                       ~~~~~^~~~~~~~
    In file included from sha2.c:58:
    ./include/isc/sha2.h:154:39: note: previously declared as ‘char[129]’
      154 | char *isc_sha512_end (isc_sha512_t *, char[ISC_SHA512_DIGESTSTRINGLENGTH]);
          |                                       ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    sha2.c:1727:44: error: argument 2 of type ‘char[]’ with mismatched bound [-Werror=array-parameter=]
     1727 | isc_sha384_end(isc_sha384_t *context, char buffer[]) {
          |                                       ~~~~~^~~~~~~~
    In file included from sha2.c:58:
    ./include/isc/sha2.h:147:39: note: previously declared as ‘char[97]’
      147 | char *isc_sha384_end (isc_sha384_t *, char[ISC_SHA384_DIGESTSTRINGLENGTH]);
          |                                       ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    cc1: all warnings being treated as errors

Merge branch 'v9_11_32-release' into 'v9_11'

Merge 9.11.32 release branch

See merge request isc-projects/bind9!5070

Set up release notes for BIND 9.11.33

Bump BIND_BASELINE_VERSION for ABI checks

Merge branch 'prep-release' into v9_11_32-release

Merge branch 'michal/prepare-documentation-for-bind-9.11.32' into 'v9_11_32-release'

Prepare documentation for BIND 9.11.32

See merge request isc-private/bind9!295

prep 9.11.32

Prepare release notes for BIND 9.11.32

Reorder release notes

Tweak and reword release notes

Tweak and reword recent CHANGES entries

Merge branch 'mnowak/openbsd-6.9-v9_11' into 'v9_11'

[v9_11] Add OpenBSD 6.9

See merge request isc-projects/bind9!5065

Add OpenBSD 6.9

(cherry picked from commit 315b8522bafad429ce2ff57c48691e01263a9926)

Merge branch '2701-gcc-10-fanalyzer-reports-dereference-of-null-label-in-lib-dns-name-c-1167-v9_11' into 'v9_11'

Silence gcc-10-fanalyzer false positive

See merge request isc-projects/bind9!5050

Silence gcc-10-fanalyzer false positive

If 'state == ft_ordinary' then 'label' can't be NULL. Add
INSIST to reflect this.

(cherry picked from commit 29f1c1e67752be1f4bfc91d32443032699ba78ab)

Merge branch '2702-gcc-10-fanalyzer-reports-v9_11' into 'v9_11'

Silence gcc-10-fanalyzer false positive

See merge request isc-projects/bind9!5045

Silence gcc-10-fanalyzer false positive

Add REQUIRE(type == dns_rdatatype_nsec3 || firstp != NULL); so
that dereferences of *firstp is not flagged as a NULL pointer
dereference.

(cherry picked from commit 683ad6e4bd12315ace3703d56ba0f0a3b1ad660f)

Merge branch '2692-grep-from-freebsd-13-0-stumbles-on-r-in-digdelv-test-v9_11' into 'v9_11'

[v9_11] Do not use escape codes for matching with grep

See merge request isc-projects/bind9!5033

Do not use escape codes for matching with grep

FreeBSD 13.0 replaced GNU grep with BSD grep and removed support for
"redundant escapes for most ordinary characters" from regex(3) library,
therefore the matching sequence in digdelv/tests.sh needs to be
rewritten otherwise it fails with:

    grep: trailing backslash (\)

(cherry picked from commit 253ae96bf107ee7a834a4f07911cc84b71e76a1d)

Merge branch 'mnowak/use-sigabrt-from-start.pl-v9_11' into 'v9_11'

[v9_11] Use SIGABRT instead of SIGKILL to produce cores on failed start

See merge request isc-projects/bind9!4992

Use SIGABRT instead of SIGKILL to produce cores on failed start

When the `named` would hang on startup it would be killed with SIGKILL
leaving us with no information about the state the process was in.
This commit changes the start.pl script to send SIGABRT instead, so we
can properly collect and process the coredump from the hung named
process.

(cherry picked from commit 861a236937268466f634392e6b300d349932fd96)

Merge branch 'matthijs-nsupdate-update_test-v9_11' into 'v9_11'

Update nsupdate test (9.11)

See merge request isc-projects/bind9!4979

Update nsupdate test

The nsupdate system test did not record failures from the
'update_test.pl' Perl script. This was because the 'ret' value was
not being saved outside the '{ $PERL ... || ret=1 } cat_i' scope.

Change this piece to store the output in a separate file and then
cat its contents. Now the 'ret' value is being saved.

Also record failures in 'update_test.pl' if sending the update
failed.

Add missing 'n' incrementals to 'nsupdate/test.sh' to keep track of
test numbers.

(cherry picked from commit 5b31811b5f15c7677a3f1a65b8dcc23d4a55f3d4)

Merge branch '2445-nsec3-iterations-resolver-v9_11' into 'v9_11'

Mark DNSSEC responses with NSEC3 records that exceed 150 as insecure (9.11)

See merge request isc-projects/bind9!4974

Add release note for [GL #2445]

(manually picked from commit ad236976fc5cae7bd81a187af4df73b182b784de)

Add CHANGES for [GL #2445]

(cherry picked from commit fd1f7b6480756eec57053d44fd3f180d86ad098c)

Check insecure responses returned with too many NSEC3 iterations

(cherry picked from commit e6e0e29fbbad1ae3dfedd3cd3fc6c2549acf9c27)

Sync dns results

Add missing DNS results from 9.16. We only care about
DNS_R_NSEC3ITERRANGE but better to sync and use the same numbers than
use a different number for this result code than what is used in 9.16.

Mark DNSSEC responses with NSEC3 records that exceed 150 as insecure

(cherry picked from commit af02bbcdd6c4117a20092ed39533e7171e9a6771)

Merge branch '2668-handle-net-dns-versions-that-don-t-support-nsec3param-v9_11' into 'v9_11'

NSEC3PARAM support was added to Net::DNS in 1.00_06

See merge request isc-projects/bind9!4973

NSEC3PARAM support was added to Net::DNS in 1.00_06

Require 1.01 or later to when adding a NSEC3PARAM records.

(cherry picked from commit 044933756ae0bc1f95054054a682ee9b48f03a05)

Merge branch '2658-update-zonemd-now-that-rfc-8976-has-been-issued-v9_11' into 'v9_11'

Update ZONEMD to match RFC 8976

See merge request isc-projects/bind9!4970

Update ZONEMD to match RFC 8976

* The location of the digest type field has changed to where the
  reserved field was.
* The reserved field is now called scheme and is where the digest
  type field was.
* Digest type 2 has been defined (SHA256).

(cherry picked from commit 8510ccaa547f9f8c75a3f2572f1ac1871f9e0787)

Merge branch '2642-reduce-the-maximum-nsec3-iterations-that-can-be-configured-v9_11' into 'v9_11'

Reduce nsec3 max iterations to 150 (9.11)

See merge request isc-projects/bind9!4967

Add Release Note for [GL #2642]

(manually picked from commit ca07b8e414ff51d19af51dad1433dd2f8042020a)

Add CHANGES for [GL #2642]

5625.   [func]          Reduce the supported maximum number of iterations
                        that can be configured in an NSEC3 zones to 150.
                        [GL #2642]

(cherry picked from commit e04f06873f7d1e9ffd061f6f8f91df05818f0ba2)

Check that excessive iterations in logged by named when

loading an existing zone or transfering from the primary.

(manually picked from commit 46eb21c546eb36362bafcefa65ee8650fe2de795)

Check NSEC3 iterations with dnssec-signzone

(cherry picked from commit 8ec16c378dbe4698de10174bb29e23c6814a406e)

Check that named rejects excessive iterations via UPDATE

(cherry picked from commit 4ce8437a6ef788fd6337f2c36de973eb4f7358fd)

nsupdate: reject attempts to add NSEC3PARAM with excessive iterations

(manually picked from commit 3fe75d9809902be38e49a409be3e688d78a2db2b)

Warn if there is excessive NSEC3 iterations

(cherry picked from commit c9f5f8a05909a47ef0f4a95ffee71a608f76a468)

Reduce nsec3 max iterations to 150

(manually picked from commit 29126500d2f4e5564b3ee3d2b3112fd876dbbb79)

Merge branch 'mnowak/configure-with-enable-dnstap-by-default-v9_11' into 'v9_11'

[v9_11] Configure with --enable-dnstap by default

See merge request isc-projects/bind9!4966

Suppress TSAN errors from libfstrm.so

dnstap_test produces TSAN errors which originate in libfstrm.so. Unless
libfstrm is TSAN clean or a workaround is placed in libfstrm sources,
suppressing TSAN coming from libfstrm is necessary to test DNSTAP under
TSAN.

(cherry picked from commit c97c6fbfea2a58e95ef58c13b9aec07501496a9e)

Configure with --enable-dnstap by default

All platforms but OpenBSD have dnstap dependencies readily in their
respective repositories, and dnstap thus can be tested there. Given that
majority of images have dnstap dependencies available, it seems fitting
to make dnstap enabled by default.

Also dnstap is disabled for TSAN jobs configured with --disable-atomic
as it's known to produce TSAN errors (#2664) and for the gcc:noatomics
job because it has threads disabled, which is a requirement for dnstap.

(cherry picked from commit deff0ae31742795ce59c0f561fac6461fac159a8)

Merge branch 'v9_11_31-release' into 'v9_11'

Merge 9.11.31 release branch

See merge request isc-projects/bind9!4956

Set up release notes for BIND 9.11.32

Bump BIND_BASELINE_VERSION for ABI checks

Merge branch 'prep-release' into v9_11_31-release

Merge branch 'michal/prepare-documentation-for-bind-9.11.31' into 'v9_11_31-release'

Prepare documentation for BIND 9.11.31

See merge request isc-private/bind9!289

prep 9.11.31

Merge branch 'prep-release' into v9_11_30-release

Prepare release notes for BIND 9.11.31

Merge branch 'michal/prepare-documentation-for-bind-9.11.30' into 'security-v9_11'

Prepare documentation for BIND 9.11.30

See merge request isc-private/bind9!286

prep 9.11.30