Merge branch 'master' into xfr-tsig

- xfr-tsig, TSIG for SOA probe, notify, and on xfr first packet.

- Fix cache_lookup subnet print to not print messages without rrsets
  and perform in-depth check on node in the addrtree.

- Fix cache_lookup subnet print to not print messages without rrsets
  and perform in-depth check on node in the addrtree.

- Fix cache_lookup subnet printout to wipe zero part of the prefix.
Changelog entry.

- Fix cache_lookup subnet printout to wipe zero part of the prefix.

- unbound-control cache_lookup +t allows tld and root names. And
  subnet cache contents are printed.
Changelog, documentation and unit test.

- unbound-control cache_lookup +t allows tld and root names. And
  subnet cache contents are printed.

- Fix to decouple file descriptor activity and cache lookups in
  dump_cache.
Changelog note.

- Fix to decouple file descriptor activity and cache lookups in
  dump_cache.

- Fix to increase responsiveness of dump_cache.

- Fix to unlock cache_lookup message for malformed records.

- Fix to remove debug from cache_lookup.

- unbound-control cache_lookup <domains> prints the cached rrsets
  and messages for those.
Changelog and information.

- unbound-control cache_lookup <domains> prints the cached rrsets
  and messages for those.

- Fix that unbound-control dump_cache releases the cache locks
  every so often, so that the server stays responsive.
Changelog entry for it.

- Fix that unbound-control dump_cache releases the cache locks
  every so often, so that the server stays responsive.

- Fix to whitespace in dname_str.

- Fix that edns-subnet failure to create a subquery errors as
  servfail, and not formerror.

- Fix dname_str for printout of long names. Thanks to Jan Komissar
  for the fix.

- Fix edns subnet, so that the subquery without subnet is stored in
  global cache if the querier used 0.0.0.0/0 and the name and address
  do not receive subnet treatment. If the name and address are
  configured for subnet, it is stored in the subnet cache.

- Fix edns subnet, so that the subquery without subnet is stored in
  global cache if the querier used 0.0.0.0/0 and the name and address
  do not receive subnet treatment. If the name and address are
  configured for subnet, it is stored in the subnet cache.

- Fix to use assertions for consistency checks in #1309 reclaimed

- Fix #1309: incorrectly reclaimed tcp handler can cause data
  corruption and segfault.

- Fix testbound test program to accurately output packets from hex.

- xfr-tsig, check that tsig keys exist at startup and in unbound-checkconf.

Merge branch 'master' into xfr-tsig

- xfr-tsig, primary-tsig: addr tsig and allow-notify-tsig: addr tsig.

- Fix redis cachedb module gettimeofday init failure.
Changelog note for the fix.

- Fix redis cachedb module gettimeofday init failure.

- Redis checks for server down and throttles reconnects.
And unit test for redis reconnect interval.

- Redis checks for server down and throttles reconnects.

- xfr-tsig, unit test for tsig_verify_reply for failed tsig.

Merge branch 'master' into xfr-tsig

- xfr-tsig, unit test for tsig_verify_reply.

- iana portlist updated.

- Fix #1303: [FR] Disable TLSv1.2.

- Fix to not set rlimits in the unit tests.

- Add unit tests for non-ecs aggregation.

- Fix for RebirthDay Attack CVE-2025-5994, reported by Xiang Li
  from AOSP Lab Nankai University.
- Tag for 1.23.1 with the release of 1.23.0 and the CVE fix, the
  repository continues with the previous fixes, with 1.23.2.

Merge branch 'branch-1.23.1'

- Fix RebirthDay Attack CVE-2025-5994, reported by Xiang Li from AOSP
  Lab Nankai University.

- Set version to 1.23.1.

- Update man page templates from rst.

- For #1289: add num.valops in the unbound-control man page.

- For #1289: test num.valops in existing stat_values.tdir.

Changelog entry for #1289:
- Merge #1289 from Roland van Rijswijk-Deij: Add extra statistic to
  track the number of signature validation operations.
  Adds 'num.valops' to extended statistics.

Add extra statistic to track the number of signature validation operations (#1289)

* Add extra statistic to track the number of signature validation operations performed by the validator module

* Move validation operation statistic to mesh as suggested

* Fix NULL pointer dereference in case the mesh is not used (and is `NULL`)

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>
* Fix NULL pointer dereference on qstate and qstate->env in unit test situation

---------

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- For #1301: configure cant find SSL_is_quic in OpenSSL 3.5.1.

- Fix detection of SSL_CTX_set_tmp_ecdh function.

Merge branch 'master' into xfr-tsig

- xfr-tsig, member comments for struct tsig_calc_state_crypto.

- xfr-tsig, implemented tsig_calc_state_crypto.

- Fix to improve dnstap discovery on Fedora.

- Fix layout of comm_point_udp_ancil_callback.

- For #1300: implement sock-queue-timeout for FreeBSD as well.

- Fix #1300: Is 'sock-queue-timeout' a linux only feature.

Changelog note for #1299
- Generate ltmain.sh and configure again.

Fix typos (#1299)

- xfr-tsig, tsig_verify_reply function.

- xfr-tsig, extra unit tests for tsig_sign_reply.

- xfr-tsig, more explanation in testcode/unittsig.c.

- xfr-tsig, unit test for tsig_sign_reply.

- xfr-tsig, more explanation in testcode/unittsig.c.

- xfr-tsig, unit test for tsig_sign_shared and tsig_verify_shared.

- xfr-tsig, tsig_sign_shared function.

- xfr-tsig, unit test argument parse code.

- xfr-tsig, tsig_verify_shared function.

- xfr-tsig, tsig_sign_reply function.

- xfr-tsig, fix unit test parse of tsig error code.

- xfr-tsig, test cases for BADTRUNC and not parseable.

Merge branch 'master' into xfr-tsig

xfr-tsig, remove debug

- xfr-tsig, unit test cases for tsig errors.

- For #1247, replay test (added tcp_transport to
  outnet_serviced_query).

- For #1247, turn off fetch-policy for delegation when looking into
  parent side name servers that may not update the addresses and hit
  NXNS limits.

- Fix #1247: forward-first: ssl handshake failed on root nameservers.

- xfr-tsig, unit test for tsig_verify_query.

- xfr-tsig, fix tsig_verify_query.

- xfr-tsig, tsig_find_rr function.

- xfr-tsig, parse and verify query tsig.

- xfr-tsig, other data content matches the other len when written.

- xfr-tsig, whitespace.

Merge branch 'master' into xfr-tsig

- xfr-tsig, unit tests for md5, sha1, sha224, sha256, sha384 and sha512.

Changelog entry for #1293:
- Fix #1293: EDE 6 is attached to insecure cached answers when client
  sends the CD bit.

- Fix #1293: EDE 6 is attached to insecure cached answers when client sends
  the CD bit.

Merge branch 'master' into xfr-tsig

- xfr-tsig, unit test for tsig_sign_query.

- Fix rrset cache create allocation failure case.

Changelog note for #1297
- Merge #1297: edns-subnet: fix NULL_AFTER_DEREF on subnetmod.

edns-subnet: fix NULL_AFTER_DEREF on subnetmod (#1297)

Found by static analyzer svace.
Static analyzer message: Redundant comparison with a NULL value at subnetmod.c:236 for pointer 'sn_env->subnet_msg_cache',
which was dereferenced at slabhash.c:228 by passing as 1st parameter to function 'slabhash_setmarkdel' at subnetmod.c:235.

Moved usage of sn_env->subnet_msg_cache in slabhash_setmarkdel after checking.

Signed-off-by: Konstantin Kamanin <bewflast@gmail.com>

- Fix #1296: DNS over QUIC depends on a very outdated version of
  ngtcp2. Fixed so it works with ngtcp2 1.13.0 and OpenSSL 3.5.0.

- xfr-tsig, test buffer size.

- xfr-tsig, tsig test.

- xfr-tsig, tsig_sign_query.

- xfr-tsig, tsig functions.

Merge branch 'master' into xfr-tsig

- xfr-tsig, tsig_create and tsig_delete.

- Fix for consistent use of local zone CNAME alias for configured auth
  zones. Now it also applies to downstream configured auth zones.