A typo and a reorder (without impact)

Merge branch 'master' into hackathon/poisonlicious-update

- iana portlist updated.

- Fix #1303: [FR] Disable TLSv1.2.

- Fix to not set rlimits in the unit tests.

- Add unit tests for non-ecs aggregation.

- Fix for RebirthDay Attack CVE-2025-5994, reported by Xiang Li
  from AOSP Lab Nankai University.
- Tag for 1.23.1 with the release of 1.23.0 and the CVE fix, the
  repository continues with the previous fixes, with 1.23.2.

Merge branch 'branch-1.23.1'

- Fix RebirthDay Attack CVE-2025-5994, reported by Xiang Li from AOSP
  Lab Nankai University.

- Set version to 1.23.1.

- Update man page templates from rst.

- For #1289: add num.valops in the unbound-control man page.

- For #1289: test num.valops in existing stat_values.tdir.

Changelog entry for #1289:
- Merge #1289 from Roland van Rijswijk-Deij: Add extra statistic to
  track the number of signature validation operations.
  Adds 'num.valops' to extended statistics.

Add extra statistic to track the number of signature validation operations (#1289)

* Add extra statistic to track the number of signature validation operations performed by the validator module

* Move validation operation statistic to mesh as suggested

* Fix NULL pointer dereference in case the mesh is not used (and is `NULL`)

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>
* Fix NULL pointer dereference on qstate and qstate->env in unit test situation

---------

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- For #1301: configure cant find SSL_is_quic in OpenSSL 3.5.1.

- Fix detection of SSL_CTX_set_tmp_ecdh function.

- Fix to improve dnstap discovery on Fedora.

- Fix layout of comm_point_udp_ancil_callback.

- For #1300: implement sock-queue-timeout for FreeBSD as well.

- Fix #1300: Is 'sock-queue-timeout' a linux only feature.

Changelog note for #1299
- Generate ltmain.sh and configure again.

Fix typos (#1299)

- For #1247, replay test (added tcp_transport to
  outnet_serviced_query).

- For #1247, turn off fetch-policy for delegation when looking into
  parent side name servers that may not update the addresses and hit
  NXNS limits.

- Fix #1247: forward-first: ssl handshake failed on root nameservers.

Changelog entry for #1293:
- Fix #1293: EDE 6 is attached to insecure cached answers when client
  sends the CD bit.

- Fix #1293: EDE 6 is attached to insecure cached answers when client sends
  the CD bit.

- Fix rrset cache create allocation failure case.

Changelog note for #1297
- Merge #1297: edns-subnet: fix NULL_AFTER_DEREF on subnetmod.

edns-subnet: fix NULL_AFTER_DEREF on subnetmod (#1297)

Found by static analyzer svace.
Static analyzer message: Redundant comparison with a NULL value at subnetmod.c:236 for pointer 'sn_env->subnet_msg_cache',
which was dereferenced at slabhash.c:228 by passing as 1st parameter to function 'slabhash_setmarkdel' at subnetmod.c:235.

Moved usage of sn_env->subnet_msg_cache in slabhash_setmarkdel after checking.

Signed-off-by: Konstantin Kamanin <bewflast@gmail.com>

- Fix #1296: DNS over QUIC depends on a very outdated version of
  ngtcp2. Fixed so it works with ngtcp2 1.13.0 and OpenSSL 3.5.0.

- Fix for consistent use of local zone CNAME alias for configured auth
  zones. Now it also applies to downstream configured auth zones.

- Fix #1295: Windows 32-bit binaries download seems to be missing dll
  dependency.

- Fix to check control-interface addresses in unbound-checkconf.

- Fix header return value description for skip_pkt_rrs and
  parse_edns_from_query_pkt.

- Fix conditional expressions with parentheses for bitwise and.

- Fix bitwise operators in conditional expressions with parentheses.

- iana portlist updated.

- Fix comment for the dname_remove_label_limit_len function.

- Fix unbound-anchor certificate file read for line ends and end of
  file.

- Small man page corrections for the 'disable-dnssec-lame-check' option.

- Fix #1288: [FR] Improve fuzzing of unbound by adapting the netbound
  program.

- Add more checks about respip in unbound-checkconf.
  Also fixes #310: unbound-checkconf not reporting RPZ configuration
  error.

Changelog entry for #1285:
- Merge #1285:  RST man pages.

RST man pages (#1285)

Introduce restructuredText man pages to sync the online and source code man page documentation.
The templated man pages (*.in) are still part of the repo but generated with docutils from their .rst counterpart.
Documentation on how to generate those (mainly for core developers) are in README.man.

- Fix for cname chain length with qtype ANY and qname minimisation.
  Thanks to Jim Greenwood from Nominet for the report.

- Fix config of slab values when there is no config file.

- Adjusted so-sndbuf default to 4m.

- Change default for so-sndbuf to 1m, to mitigate a cross-layer
  issue where the UDP socket send buffers are exhausted waiting
  for ARP/NDP resolution. Thanks to Reflyable for the report.

- Fix #1282: log-destaddr fail on long ipv6 addresses.

- Fix #1284: NULL pointer deref in az_find_nsec_cover() (latent bug)
  by adding a log_assert() to safeguard future development.

- Fix #1283: Unsafe usage of atoi() while parsing the configuration
  file.

Changelog entry for #1280:
- Merge #1280: Fix auth nsec3 code. Fixes NSEC3 code to not break on
  broken auth zones that include unsigned out of zone (above apex)
  data. Could lead to hang while trying to prove a wildcard answer.

Fix auth nsec3 code (#1280)

- Fix NSEC3 code to not break on broken auth zones that include unsigned
  out of zone (above apex) data. Could lead to hang while trying to
  prove a wildcard answer.
  Reported by Dmitrii Kuvaiskii from Amazon Web Services.

- Tests for NSEC3 auth zones with out of zone data.

- Fix #1281: forward-zone "name: ." conflicts with auth-zone "name: ."
  in 1.23.0, but worked in 1.22.0.

- Sync unbound and unbound-checkconf log output for unknown modules.

Changelog entry for #1276:
- Merge #1276: Auto-configure '-slabs' values.

Auto-configure '-slabs' values (#1276)

- Auto-configure '-slabs' values to a power of 2 value close to num-threads
  by default for multi-threaded environments.

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- Fix dnstap to use protoc.

- Fix for parallel build of dnstap protoc-c output.

Changelog entry for #1275:
- Merge #1275: Use macros for the fr_check_changed* functions.

Use macros for the fr_check_changed* functions (#1275)

- Fix #1272: assertion failure testcode/unitverify.c:202.

- Tag for 1.23.0rc2. This became the release of 1.23.0 on 24 April
  2025. The code repository continues with 1.23.1 in development.

Merge branch 'branch-1.23.0'

- Increase default to `num-queries-per-thread: 2048`, when unbound is
  compiled with libevent. It makes saturation of the task queue more
  resource intensive and less practical. Thanks to Shiming Liu,
  Network and Information Security Lab, Tsinghua University for the
  report.

Changelog entry for #1265:
- Merge #1265: Fix WSAPoll.

Fix WSAPoll (#1265)

* Fix calling WSAPoll.

* fast_reload: explicitly set tcp_wouldblock on Windows when there is no
  command to read from the fast_reload thread.

* For poll(), also check for ENOMEM (Linux).

* Remove ifdefs for ENOMEM.
* Some systems return EAGAIN for poll.

Changelog entry for #1265:
- Merge #1265: Fix WSAPoll.

Fix WSAPoll (#1265)

* Fix calling WSAPoll.

* fast_reload: explicitly set tcp_wouldblock on Windows when there is no
  command to read from the fast_reload thread.

* For poll(), also check for ENOMEM (Linux).

* Remove ifdefs for ENOMEM.
* Some systems return EAGAIN for poll.

- Fix for print of connection type in log-replies for dot and doh.

Merge branch 'master' into branch-1.23.0

- Fix #1264: unbound 1.22.0 leaks memory when doing DoH.

- Fix to detect if atomic_store links in configure.

Merge branch 'branch-1.23.0' of github.com:NLnetLabs/unbound into branch-1.23.0

- Fix fast_reload to print chroot with config file name.

- Update to the manpage for the fast_reload part.

- Tag for 1.23.0rc1.

- More explicit text about memory usage during fast_reload.

Changelog entry for #902:
- Merge #902: DNS Error Reporting (RFC 9567). Introduces new
  configuration option 'dns-error-reporting' and new statistics for
  'num.dns_error_reports'.

DNS Error Reporting (RFC 9567) (#902)

* v1 EDER poc

* remove superfluous edns_list_get_option function

* create an EDER configurable

* Hackathon 114

* Fixes for version -04

* Generated configparser and configlexer are not versioned in master anymore

* Remove NOERROR DNS Error Reporting; not part of final RFC.
* Use assigned IANA EDNS0 Option Code for Report-Channel.

* Fix buffer protection and agent domain validity

* Use DNS Error Reporting instead of the eder nickname

* Update documentation.

* Fix typo.

* Bail out early if ede is not present.

* Forget previous EDNS options from upstream; this is what was
  implicitly happening but not deterministacally.

* Don't report LDNS_EDE_OTHER and bail early if there is no reporting
  agent.

* Only do DNS error reporting when a client asked for something that
  went wrong.

* Add an error reporting agent in the parent that should be ignored.

* review feedback.

* fixup for fast reload

* Add 'num.dns_error_reports' to stats and test for it.

---------

Co-authored-by: TCY16 <tom@nlnetlabs.nl>
Co-authored-by: Yorgos Thessalonikefs <yorgos@nlnetlabs.nl>

- Fix to update common.sh for speed of kill_pid.

- Fix test to speed up common.sh script kill_pid.

Fix typo in Changelog entry.

Changelog entry for #1019:
- Merge #1019: Redis read-only replica support.
  Introduces new 'redis-replica-*' options for the Redis cache backend.

- Fix redis_replicat test for unused option defaults and log printout.

- Fix nettle compile for warnings and ticket keys.

Redis read-only replica support (#1019)

* Set version to 1.19.1 for point release.

* Initial work for Redis read-only replica support.

* Test for Redis replica.

* Documentation for the Redis replica timeouts.

* redis replica, rewrite set_timeout()

* clean merge.

* Add new options for fast reload.

* Apply suggestions from code review

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>
* some more typos

---------

Co-authored-by: W.C.A. Wijngaards <wouter@nlnetlabs.nl>
Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- Fix comment name in the rpz nsdname test.

- Fix mesh_copy_client_info to omit null contents from copy.

- Fix parameter unused warning in net_help.c.

- Fix test for stat_values for wait limit defaults for localhost.

- Fix ub_event and include dnstap and win_svc headers.

- Fix wait-limit-netblock and wait-limit-cookie-netblock config parse
  to allow two arguments.

- Fix #1263: Exempt loopback addresses from wait-limit.

- Fix that ub_event has the facility to deal with callbacks for
  fast reload, doq, windows-stop and dnstap.
- Fix fast reload test to check if pid exists before acting on it.

- Fix unbound-control test so it counts the new flush_negative output,
  also answers the _ta probe from testns and prints command output
  and skip a thread specific test when no threads are available.

- For #1262, ifdef is no longer needed.

Changelog entry for #1262:
- Merge #1262 from markyang92, fix build with
  'gcc-15 -Wbuiltin-declaration-mismatch' error in compat/malloc.c.