fixup! WIP: daemon/worker: weak pointer logic for tasks

fixup! WIP: daemon/worker: weak pointer logic for tasks

WIP: daemon/worker: weak pointer logic for tasks

Replaces the reference-counting logic for `struct qr_task` with
weak-pointer-like logic (in `lib/weakptr`). Pointers to `struct qr_task`
outside of `daemon/worker` are replaced with a unique task identifier
(`qr_task_weakptr_t`), which may be passed to worker functions. If a
weak pointer is no longer valid, operations are (usually silently)
skipped, because it is assumed that a task that has been freed has
already been finished, and any pending operations on it are no longer
needed.

(This is a work in progress and still has some bugs that need to be
resolved)

daemon: refactor stage 1

Merge !1311: daemon/http: improve URI checks

Fixes #746

daemon/http: improve URI checks

The `check_uri()` function now only checks that the endpoint is either
`/doh` or `/dns-query`. Parameter checks were moved into
`process_uri_path()` so that the check only takes place for GET
requests. POST requests now do not care about parameters at all.

Merge branch 'release-5-5-1' into 'master'

release 5.5.1

See merge request knot/knot-resolver!1308

NEWS: date update

ci/images: git://github.com won't work anymore

AUTHORS update

release 5.5.1

Merge !1307: tests/config: improve difference prints of tables

tests/config: improve difference prints of tables

Merge !1306: renumber: get rid of netmask limitation, now support any netmask

renumber: fix incorrect masking of bytes after netmask boundary

(we changed the original fix a bit)

renumber: test for arbitrary netmask

renumber: get rid of netmask limitation, now support any netmask

(with minor cleanups from vcunat)

Merge !1299: tweak inlining

ci: fixup lint:scan-build

I have no idea why this one appeared right now (part not touched),
and it does not make sense at all:

../../../lib/utils.c:524:20: warning: Out of bound memory access (accessed memory precedes memory block)
        buf[len_need - 1] = 0;
        ~~~~~~~~~~~~~~~~~~^~~

tweak inlining

I used -Winline (optimizing, gcc 11 or 12) to gather warnings
about cases that were considered too expensive for inlining.
Some of these probably used not to happen when we were dropping
assertions during preprocessing in -DNDEBUG builds.
This commit mainly improves size of the compiled binary by several KiB.

- queue_head_impl(): optionally (un)inline; not big but in warnings
- queue_pop_impl(): uninline; too complex for my today's eyes
- kr_rand_bytes(): optionally (un)inline
  The inlining potential there comes from calling with a constant.
- kr_straddr(): uninline.  It's never been meant for hot code,
  and this gives us large savings due to deduplicating the static array.
- For some I couldn't see a good resolution due to restrictions in C.

C hint: `static inline` is probably well known;
the other inline combination is well explained at:
https://stackoverflow.com/a/6312813/587396

Merge !1298: lib/selection: improve IPv6 avoidance if broken + debug logs

lib/selection debug logs: print one more line

And that made the "NO6: is KO" line extraneous.
Example in context:
[select][14162.01]   => id: '15271' choosing from addresses: 0 v4 + 1 v6; names to resolve: 6 v4 + 5 v6; force_resolve: 0; NO6: IPv6 is OK
[select][14162.01]   => id: '15271' choosing: 'ns1.p31.dynect.net.'@'2600:2000:2210::31#00053' with timeout 774 ms zone cut: 'amazon.com.'
[select][14162.01]   => id: '15271' updating: 'ns1.p31.dynect.net.'@'2600:2000:2210::31#00053' zone cut: 'amazon.com.' with rtt 316 to srtt: 311 and variance: 89

lib/selection: improve IPv6 avoidance if broken

It was still possible to get into a deadlock here.
https://forum.turris.cz/t/not-connecting-to-applications-like-discord/17111/7
If A records for a NS fell out of cache but AAAA remained,
with probability 1-\epsilon we'd choose an AAAA address
even if IPv6 was considered broken.

I looked at *the whole* no6 strategy again, and I do think that
there are no such holes anymore.  A few percent attempts will still
go over IPv6 even if it's considered broken, but that sounds OK-ish.

Merge !1304: tests/packaging: print build_log of failed commands

tests/packaging: print build_log of failed commands

Merge !1284: ci: add x86+arm matrices where simple

ci docker: make into a x86+arm matrix

No other job can do it, as we don't have docker images ready for that,
and the usual manual workflow won't be well usable with arm64.
We'll need to convert their generation to (manual?) CI schedules.

ci/pkgtest: make nixos-unstable into a x86+arm matrix

Other pkgtest jobs can't do this, as they're designed for LXC
and we don't have an arm+LXC runner.

Merge !1305: nits: abort() and #include

drop unused #include lines

https://clangd.llvm.org/design/include-cleaner
Though somehow I'm all the time getting false positives for
"daemon/bindings/impl.h"

replace some occurrences of abort() by kr_require()

It provides more information and the condition is typically
easier to read, too.

Merge !1303: meson nit: deal with warning about future of run_command

meson nit: deal with warning about future of run_command

WARNING: You should add the boolean check kwarg to the run_command call.
         It currently defaults to false,
         but it will default to true in future releases of meson.
         See also: https://github.com/mesonbuild/meson/issues/9300

In almost all cases we already check the return code explicitly
and throw a more descriptive message than what would be the default.

Merge !1302: renumber: allow renumbering a subnet to a single IP

renumber: named local variables for readability

renumber: add test for single IP rewrite

renumber: document additions from the parent commit

renumber: allow renumbering a subnet to a single IP

https://github.com/CZ-NIC/knot-resolver/pull/77
originally but changed by vcunat quite a bit.

lib/utils nit: deduplicate one line

Merge !1301: lib/cache: handle posix_fallocate returning EOPNOTSUPP

lib/cache: handle posix_fallocate returning EOPNOTSUPP (Linux/musl)

https://man7.org/linux/man-pages/man3/posix_fallocate.3.html#ERRORS:
> EOPNOTSUPP
> The filesystem containing the file referred to by fd does not support
> this operation.  This error code can be returned by C libraries that
> don't perform the emulation shown in NOTES, such as **musl libc**.

I've encountered this problem on Alpine Linux running inside an LXC
container on Ubuntu with data on ZFS.

Merge !1279: daemon/http: HTTP response codes

Fixes #728

daemon/http: copy headers to streams instead of ownership transfer

tests/config/tapered: update for difference prints

daemon/http: documentation

ci: ODVR will also need Debian 11

Debian 10 could probably get dropped soon, but not yet.

daemon/http: move status sends outside nghttp2 callbacks

The nghttp2 documentation states that we must not send data from inside
of its callbacks. It may result in crashes.

daemon/http: return 400 on failed packet_parse + improved stream handling

daemon/http: return 400 on stream end with no processed packets

daemon/http: add basic HTTP response codes

Merge !1295: daemon/tls: use GNUTLS_NO_TICKETS_TLS12

Closes #742

daemon/tls: use GNUTLS_NO_TICKETS_TLS12

Merge !1294: lib/dnssec: rewrite most of NSEC validation code

Closes #443 and #738

NEWS for the rewrite of some NSEC validation parts

lib/dnssec: nits

lib/dnssec: rewrite kr_nsec_ref_to_unsigned()

- I see no motivation to search for NS records here;
  and I didn't like that loop nesting
- philosophy shift akin to the recent
  replacement of kr_nsec_existence_denial()

lib/dnssec: drop kr_nsec_name_error_response_check()

Just as with NODATA; basically the same comments
apply here (i.e. for NXDOMAIN) as well.

lib/dnssec: replace kr_nsec_existence_denial()

The NSEC validation code has been written very mechanically
according to RFC 4033..4035, but those explain wildcard-related
topics in a way that's hard to understand right.

So here I rewrite it with a different philosophy, so it should be
easier to understand, a bit faster, and less buggy and bug-prone.

daemon/lua nit: sort RR rank names in debug logs

I was diffing logs from different runs and got annoyed by the shuffles.

Merge !1287: tests/dnstap: add missing protobuf dependency

tests/dnstap: add missing protobuf dependency

Merge !1286: daemon/network: Use trie_t instead of map_t for network endpoints

lib/generic/map: remove

lib/utils kr_sockaddr_key_same_addr(): more precision

... in case of IPv6 link-local addresses.
The casting isn't very nice, but we certainly rely on `family` being
always on the same offset anyway (and it's ensured by standards).

daemon/network: reintroduce net.close() wildcard semantics

lib/utils: check for unix socket paths null-termination

daemon/network: Use trie_t instead of map_t for network endpoints

Merge !1290: modules/stats: use trie_t instead of map_t

modules/stats: use trie_t instead of map_t

lib/generic/trie: add trie_apply_with_key()

Merge !1292: lib/dnssec/ta: use trie_t instead of map_t

lib/dnssec/ta: use trie_t instead of map_t

Merge !1288: daemon/worker: Use trie_t instead of map_t for TCP connections

daemon/worker: Use trie_t instead of map_t for TCP connections

lib/utils: sockaddr key generation

Merge branch !1285: daemon/zimport: close transaction after importing batch

daemon/zimport: close transaction after importing batch

I'm really sorry about this.  It's my regression in 5.5.0 (!1225)

Practical consequence was that the RW transaction was held open
until that instance did something with cache (and thus closed),
so any other instance would be frozen in the meantime if doing
anything non-read-only with cache (e.g. startup).
https://lists.nic.cz/hyperkitty/list/knot-resolver-users@lists.nic.cz/thread/6DOXXOA6ACEUBVYPUY3T2MLGIHWOMV6M/

Merge !1283: ci: fix ambiguous tag-sets

ci: fix ambiguous tag-sets

In a few places the tag-set specification for jobs could match
either amd64 or arm64 runners.  That non-determinism is bad,
especially when passing platform-specific artifacts around.

This is just a stop-gap measure.  Later we'll need to rethink our CI
in terms of the two platforms.

I didn't touch tag-sets with `condor`, as that will probably always be
just a single machine (which coordinates scheduling on others).

Merge !1282: ci/pkgtest: fix issues with sphinx

ci/pkgtest: fix issues with sphinx

The apkg installation through pip3 was pulling too new jinja2 version,
breaking subsequent usage of sphinx to build docs (in `apkg build`).

Merge !1276: xdp: make it work also with libknot 3.1

Fixes #735

xdp nit: utilize freeing API added in libknot 3.1

It's probably a bit more efficient, but this part of code should be
rarely used even on a resolver serving all in XDP.

xdp: make it work also with libknot 3.1

Somehow I did this wrong when porting to libknot 3.1.

Merge !1281: pkg: update changelogs

pkg: update changelogs

* set myself as package maintainer
* use {{ now }} instead of hardcoded datetime
  * bump apkg compat to 2

rpm: sync from Fedora

This is a no-op as GPG_CHECK is disabled for upstream package but it
keeps the .spec files in sync.

Merge !1271: ci/images: add docs

ci/images: add debian-11-coverity description

ci/images: add image description

ci/images: ensure base image is updated

Merge !1275: modules/dns64: fix incorrect packet writes for cached packets

Fixes #727

modules/dns64: fix incorrect packet writes for cached packets

Also change the return type of kr_pkt_has_dnssec() and lua's :dobit()

Merge branch 'release-5-5-0' into 'master'

release 5.5.0

See merge request knot/knot-resolver!1272

AUTHORS: duplicate alias removed

release 5.5.0

Merge !1273: Documentation nits (policy, predict)

predict docs: be more explicit about recommended use

We're still run into people who thought that the example config
is a suitable default.  Example where it caused practical issues:
https://lists.nic.cz/hyperkitty/list/knot-resolver-users@lists.nic.cz/thread/WQDJJ3LLEIZ5U3VVSCITW6DZPICW4L7U/

policy docs: explain non-ASCII names

Merge branch 'selection' into 'master'

lib/selection: fix interaction of timeouts with reboots

Closes #722

See merge request knot/knot-resolver!1269