- xfr-tsig, unit test for tsig_sign_shared and tsig_verify_shared.

- xfr-tsig, tsig_sign_shared function.

- xfr-tsig, unit test argument parse code.

- xfr-tsig, tsig_verify_shared function.

- xfr-tsig, tsig_sign_reply function.

- xfr-tsig, fix unit test parse of tsig error code.

- xfr-tsig, test cases for BADTRUNC and not parseable.

Merge branch 'master' into xfr-tsig

xfr-tsig, remove debug

- xfr-tsig, unit test cases for tsig errors.

- For #1247, replay test (added tcp_transport to
  outnet_serviced_query).

- For #1247, turn off fetch-policy for delegation when looking into
  parent side name servers that may not update the addresses and hit
  NXNS limits.

- Fix #1247: forward-first: ssl handshake failed on root nameservers.

- xfr-tsig, unit test for tsig_verify_query.

- xfr-tsig, fix tsig_verify_query.

- xfr-tsig, tsig_find_rr function.

- xfr-tsig, parse and verify query tsig.

- xfr-tsig, other data content matches the other len when written.

- xfr-tsig, whitespace.

Merge branch 'master' into xfr-tsig

- xfr-tsig, unit tests for md5, sha1, sha224, sha256, sha384 and sha512.

Changelog entry for #1293:
- Fix #1293: EDE 6 is attached to insecure cached answers when client
  sends the CD bit.

- Fix #1293: EDE 6 is attached to insecure cached answers when client sends
  the CD bit.

Merge branch 'master' into xfr-tsig

- xfr-tsig, unit test for tsig_sign_query.

- Fix rrset cache create allocation failure case.

Changelog note for #1297
- Merge #1297: edns-subnet: fix NULL_AFTER_DEREF on subnetmod.

edns-subnet: fix NULL_AFTER_DEREF on subnetmod (#1297)

Found by static analyzer svace.
Static analyzer message: Redundant comparison with a NULL value at subnetmod.c:236 for pointer 'sn_env->subnet_msg_cache',
which was dereferenced at slabhash.c:228 by passing as 1st parameter to function 'slabhash_setmarkdel' at subnetmod.c:235.

Moved usage of sn_env->subnet_msg_cache in slabhash_setmarkdel after checking.

Signed-off-by: Konstantin Kamanin <bewflast@gmail.com>

- Fix #1296: DNS over QUIC depends on a very outdated version of
  ngtcp2. Fixed so it works with ngtcp2 1.13.0 and OpenSSL 3.5.0.

- xfr-tsig, test buffer size.

- xfr-tsig, tsig test.

- xfr-tsig, tsig_sign_query.

- xfr-tsig, tsig functions.

Merge branch 'master' into xfr-tsig

- xfr-tsig, tsig_create and tsig_delete.

- Fix for consistent use of local zone CNAME alias for configured auth
  zones. Now it also applies to downstream configured auth zones.

Merge branch 'master' into xfr-tsig

- xfr-tsig, tsig_verify return failure comment improved.

- Fix #1295: Windows 32-bit binaries download seems to be missing dll
  dependency.

- Fix to check control-interface addresses in unbound-checkconf.

- xfr-tsig, man page and example config.

- xfr-tsig, tsig-key, with name, algorithm and secret options.

- xfr-tsig, fix algorithm lookup.

- xfr-tsig, algorithm table.

- xfr-tsig, key table.

- xfr-tsig, check rdata length in tsig verify.

Merge branch 'master' into xfr-tsig

- Fix header return value description for skip_pkt_rrs and
  parse_edns_from_query_pkt.

- xfr-tsig, check buffer remaining in tsig verify.

- xfr-tsig, fix warning in compile of declaration.

- xfr-tsig, const for dname compare and fix warnings in compile.

- xfr-tsig, update header comment.

- xfr-tsig, constant time memcmp is used.

Merge branch 'master' into xfr-tsig

- xfr-tsig, import the tsig verify code from hackathon/poisonlicious branch.

- Fix conditional expressions with parentheses for bitwise and.

- Fix bitwise operators in conditional expressions with parentheses.

- iana portlist updated.

- Fix comment for the dname_remove_label_limit_len function.

- Fix unbound-anchor certificate file read for line ends and end of
  file.

- Small man page corrections for the 'disable-dnssec-lame-check' option.

- Fix #1288: [FR] Improve fuzzing of unbound by adapting the netbound
  program.

- Add more checks about respip in unbound-checkconf.
  Also fixes #310: unbound-checkconf not reporting RPZ configuration
  error.

Changelog entry for #1285:
- Merge #1285:  RST man pages.

RST man pages (#1285)

Introduce restructuredText man pages to sync the online and source code man page documentation.
The templated man pages (*.in) are still part of the repo but generated with docutils from their .rst counterpart.
Documentation on how to generate those (mainly for core developers) are in README.man.

- Fix for cname chain length with qtype ANY and qname minimisation.
  Thanks to Jim Greenwood from Nominet for the report.

- Fix config of slab values when there is no config file.

- Adjusted so-sndbuf default to 4m.

- Change default for so-sndbuf to 1m, to mitigate a cross-layer
  issue where the UDP socket send buffers are exhausted waiting
  for ARP/NDP resolution. Thanks to Reflyable for the report.

- Fix #1282: log-destaddr fail on long ipv6 addresses.

- Fix #1284: NULL pointer deref in az_find_nsec_cover() (latent bug)
  by adding a log_assert() to safeguard future development.

- Fix #1283: Unsafe usage of atoi() while parsing the configuration
  file.

Changelog entry for #1280:
- Merge #1280: Fix auth nsec3 code. Fixes NSEC3 code to not break on
  broken auth zones that include unsigned out of zone (above apex)
  data. Could lead to hang while trying to prove a wildcard answer.

Fix auth nsec3 code (#1280)

- Fix NSEC3 code to not break on broken auth zones that include unsigned
  out of zone (above apex) data. Could lead to hang while trying to
  prove a wildcard answer.
  Reported by Dmitrii Kuvaiskii from Amazon Web Services.

- Tests for NSEC3 auth zones with out of zone data.

- Fix #1281: forward-zone "name: ." conflicts with auth-zone "name: ."
  in 1.23.0, but worked in 1.22.0.

- Sync unbound and unbound-checkconf log output for unknown modules.

Changelog entry for #1276:
- Merge #1276: Auto-configure '-slabs' values.

Auto-configure '-slabs' values (#1276)

- Auto-configure '-slabs' values to a power of 2 value close to num-threads
  by default for multi-threaded environments.

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- Fix dnstap to use protoc.

- Fix for parallel build of dnstap protoc-c output.

Changelog entry for #1275:
- Merge #1275: Use macros for the fr_check_changed* functions.

Use macros for the fr_check_changed* functions (#1275)

- Fix #1272: assertion failure testcode/unitverify.c:202.

- Tag for 1.23.0rc2. This became the release of 1.23.0 on 24 April
  2025. The code repository continues with 1.23.1 in development.

Merge branch 'branch-1.23.0'

- Increase default to `num-queries-per-thread: 2048`, when unbound is
  compiled with libevent. It makes saturation of the task queue more
  resource intensive and less practical. Thanks to Shiming Liu,
  Network and Information Security Lab, Tsinghua University for the
  report.

Changelog entry for #1265:
- Merge #1265: Fix WSAPoll.

Fix WSAPoll (#1265)

* Fix calling WSAPoll.

* fast_reload: explicitly set tcp_wouldblock on Windows when there is no
  command to read from the fast_reload thread.

* For poll(), also check for ENOMEM (Linux).

* Remove ifdefs for ENOMEM.
* Some systems return EAGAIN for poll.

Changelog entry for #1265:
- Merge #1265: Fix WSAPoll.

Fix WSAPoll (#1265)

* Fix calling WSAPoll.

* fast_reload: explicitly set tcp_wouldblock on Windows when there is no
  command to read from the fast_reload thread.

* For poll(), also check for ENOMEM (Linux).

* Remove ifdefs for ENOMEM.
* Some systems return EAGAIN for poll.

- Fix for print of connection type in log-replies for dot and doh.

Merge branch 'master' into branch-1.23.0

- Fix #1264: unbound 1.22.0 leaks memory when doing DoH.

- Fix to detect if atomic_store links in configure.

Merge branch 'branch-1.23.0' of github.com:NLnetLabs/unbound into branch-1.23.0

- Fix fast_reload to print chroot with config file name.

- Update to the manpage for the fast_reload part.

- Tag for 1.23.0rc1.

- More explicit text about memory usage during fast_reload.

Changelog entry for #902:
- Merge #902: DNS Error Reporting (RFC 9567). Introduces new
  configuration option 'dns-error-reporting' and new statistics for
  'num.dns_error_reports'.