Changelog comment for #1042
- Merge #1042: Fast Reload. The unbound-control fast_reload is added.
  It reads changed config in a thread, then only briefly pauses the
  service threads, that keep running. DNS service is only interrupted
  briefly, less than a second.

- fast-reload, fix compile of doqclient for fast reload functions.

Merge branch 'master' into fast-reload-option

- fast-reload, the fast-reload command is experimental.

- iana portlist update.

Review comments for the fast reload feature (#1259)

* - fast-reload review, respip set can be null from a view.

* - fast-reload review, typos.

* - fast-reload review, keep clang static analyzer happy.

* - fast-reload review, don't forget to copy tag_actions.

* - fast-reload review, less indentation.

* - fast-reload review, don't leak respip_actions when reloading.

* - fast-reload review, protect NULL pointer dereference in get_mem
  functions.

* - fast-reload review, add fast_reload_most_options.tdir to test most
  options with high verbosity when fast reloading.

* - fast-reload review, don't skip new line on long error printouts.

* - fast-reload review, typo.

* - fast-reload review, use new_z for consistency.

* - fast-reload review, nit for unlock ordering to make eye comparison
  with the lock counterpart easier.

* - fast-reload review, in case of error the sockets are already closed.

* - fast-reload review, identation.

* - fast-reload review, add static keywords.

* - fast-reload review, update unbound-control usage text.

* - fast-reload review, updates to the man page.

- Fix for ci test, expat is installed on the osx image.

- Fix unit test dname log printout typecast.

- For #1255, for ios try the latest expat version again.

- For #1255, for ios disable building tests that require C++11.

- For #1255, for ios use an older expat version that does not require
  C++11 language features.

- Fix #1255: Multiple pinnings to vulnerable copies of libexpat.

- Fix #1254: `send failed: Socket is not connected` and
  `remote address is 0.0.0.0 port 53`.

- Fix for #1253: Fix for redis cachedb backend to expect an integer
  reply for the EXPIRE command.

- Fix #1253: Cache entries fail to be removed from Redis cachedb
  backend with unbound-control flush* +c.

- Fix print of RR type NSAP-PTR, it is an unquoted string.

- fast-reload, fix use of WSAPoll.

- Fix for windows compile create ssl contexts.

- Fix #1251: WSAPoll first argument cannot be NULL.

- Fix representation of types GPOS and RESINFO, add rdf type for

- Fix 'unbound-control flush_negative' when reporting removed data;
  reported by David 'eqvinox' Lamparter.

Changelog nore for #1238 and add `--help` description.
- Merge #1238: Prefer SOURCE_DATE_EPOCH over actual time.
  Add --help output description for the SOURCE_DATE_EPOCH variable.

Prefer SOURCE_DATE_EPOCH over actual time (#1238)

* Add ax_build_date_epoch from Autoconf Archive

Signed-off-by: Sefa Eyeoglu <contact@scrumplex.net>
* Prefer SOURCE_DATE_EPOCH over actual time

Signed-off-by: Sefa Eyeoglu <contact@scrumplex.net>
---------

Signed-off-by: Sefa Eyeoglu <contact@scrumplex.net>

Changelog note for #1243
- Merge #1243: Do not shadow tm on line 236.

Do not shadow tm on line 236. (#1243)

- Fix hash calculation for cachedb to ignore case. Previously, cached
  records there were only relevant for same case queries (if not
  already in Unbound's internal cache).

Changelog entry for #1241:
- Merge #1241: Fix infra-keep-probing for low infra-cache-max-rtt
  values.

Merge pull request #1241 from NLnetLabs/bugfix/keep-probing-max-rtt

Fix infra-keep-probing for low infra-cache-max-rtt values

- The maximum value of a probe rto was not aligned with the
  (configurable) infra-cache-max-rtt value. That could result in
  infra-keep-probing not working if an infra-cache-max-rtt value was chosen
  that was below 12000 ms. This fix still uses a default value of 12000
  ms for the probe but caps it to the infra-cache-max-rtt if that is
  lower.

- Fix static analysis report about unhandled EOF on error conditions
  when reading anchor key files.

- Consider reconfigurations when calculating the still_useful_timeout
  for servers in the infrastructure cache.

- Fix #986: Resolving sas.com with dnssec-validation fails though
  signed delegations seem to be (mostly) correct.

- Make the default value of module-config "validator iterator"
  regardless of compilation options. --enable-subnet would implicitly
  change the value to enable the subnetcache module by default in the
  past.

Changelog entry for #1220:
- Merge #1220 from Petr Menšík, Add unbound members group access to
  control key.

Merge pull request #1220 from InfrastructureServices/unbound-control-group-key

Add unbound members group access to control key

Changelog entry for #1224:
- Merge #1224 from Theo Buehler: Do not use DSA API unless USE_DSA is
  set.

Merge pull request #1224 from botovq/improve-use-dsa

Do not use DSA API unless USE_DSA is set

Changelog note for #1229
- Merge #1229: check before use daemon->shm_info.

check before use daemon->shm_info (#1229)

fix core after the command `unbound-control stop unbound`

fix:https://github.com/NLnetLabs/unbound/issues/1228

Signed-off-by: eaglegai <eaglegai@163.com>

- Do not open unencrypted channels next to encrypted ones on the same
  port.

- Fix to check length in ATMA string to wire.

- Fix encoding of RR type ATMA.

- Fix compile of interface check code when dnscrypt or quic is
  disabled.

- Use the same interface listening port discovery code for all needed
  protocols.
- Port to string only when needed before getaddrinfo().

- Create the quic SSL listening context only when needed.

Changelog entry for #1222:
- Merge #1222: Unique DoT and DoH SSL contexts to allow for different
  ALPN.

Unique DoT and DoH SSL contexts to allow for different ALPN (#1222)

Do not use DSA API unless USE_DSA is set

Even if USE_DSA is unset, unbound ends up linking against OpenSSL
DSA API because these guards are missing.

Changelog entry for #1221:
- Merge #1221: Consider auth zones when checking for forwarders.

Merge pull request #1221 from NLnetLabs/bugfix/consider-auth-zones-when-forwarding

Consider auth zones when checking for forwarders

- Use correct RFC number for resolver.arpa.

- Add resolver.arpa and service.arpa to the default locally served
  zones.

- Take configured auth zones into consideration when checking if a
  request needs to be forwarded.

Add unbound members group access to control key

Recent openssl genrsa does not use umask for generated keys. There is no
strong reason why every member of unbound group should be able read
server key. But control key would be quite useful to be group readable
and to allow control access to whole group. Allowing access to control
by group membership, not via sudo.

- Fix typo.

- Fix #1213: Misleading error message on default access control causing
  refuse.

Changelog entry for #1214:
- Merge #1214: Use TCP_NODELAY on TLS sockets to speed up the TLS
  handshake.

Merge pull request #1214 from NLnetLabs/bugfix/tls-handshake

Use TCP_NODELAY on TLS sockets to speed up the TLS handshake.

- Use TCP_NODELAY on TLS sockets to speed up the TLS handshake.

Changelog entry for #1174:
- Merge #1174: Serve expired cache update fixes. Fixes a regression bug
  with serve-expired that appeared in 1.22.0 and would not allow the
  iterator to update the cache with not-yet-validated entries resulting
  in increased outgoing traffic.

Serve expired cache update fixes (#1174)

- Fixes a regression bug with serve-expired that appeared in 1.22.0
  and would not allow the iterator to update the cache with
  not-yet-validated entries resulting in increased outgoing traffic.

- Treat serve_expired_norec_ttl as a backoff timer for failed updates of expired records.
- Try to use expired answers instead of SERVFAIL if serve-expired is
  enabled even without serve-expired-client-timeout.
- Add suggestion to refresh the cached norec_ttl and expired_ttl when a
  response cannot update the usable expired entry.

- For #1207: [FR] Support for RESINFO RRType 261 (RFC9606), add
  LDNS_RR_TYPE_RESINFO similar to LDNS_RR_TYPE_TXT.

Changelog entry for #1204:
- Merge #1204: ci: set persist-credentials: false for actions/checkout
  per zizmor suggestion.

Merge pull request #1204 from NLnetLabs/zizmor-improvements

set persist-credentials: false per zizmor suggestion

- Fix typo in log_servfail.tdir test.

Changelog entry for #1187:
- Merge #1187: Create the SSL_CTX for QUIC before chroot and privilege
  drop.

Create the SSL_CTX for QUIC before chroot and privilege drop (#1187)

Fixes #1185 by creating the SSL_CTX for QUIC before chroot and
privilege drop, just like the other SSL_CTX creations.

---------

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- Safeguard alias loop while looking in the cache for expired answers.

- Merge #1198: Fix log-servfail with serve expired and no useful cache
  contents.

Merge pull request #1198 from NLnetLabs/bugfix/log-servfail-serve-expired

Fix log-servfail with serve expired and no useful cache contents

- For #1175, the default value of serve-expired-ttl is set to 86400
  (1 day) as suggested by RFC8767.

Changelog entry for #1189, #1197:
- Merge #1189: Fix the dname_str method to cause conversion errors
  when the domain name length is 255.
- Merge #1197: dname_str() fixes.

Merge pull request #1197 from NLnetLabs/dname_str-more-tests

dname_str() fixes

- For #1193, introduce log-servfail.tdir and cleanup the log-servfail
  setting from other tests.

- Fix #1193: log-servfail fails to log host SERVFAIL responses in
  Unbound 1.19.2 on Ubuntu 24.04.1 LTS, by not considering cached
  failures when trying to reply with expired data.

- For #1189, homogenize the input buffer size for dname_str().

- For #1189, add unit tests for dname_str() and debug check the input
  buffer size.

Fix the dname_str method to cause conversion errors when the domain name length is 255

- For #1175, update serve-expired tests.

- Fix #1175: serve-expired does not adhere to secure-by-default
  principle. The default value of serve-expired-client-timeout
  is set to 1800 as suggested by RFC8767.

- Fix comparison to help static analyzer.

Changelog entry for #1169:
- Merge #1169 from Sergey Kacheev, fix: lock-free counters for
  auth_zone up/down queries.

Merge pull request #1169 from sakateka/lock-free-az-counters

fix: lock-free counters for auth_zone up/down queries

fix: lock-free counters for auth_zone up/down queries

- Fix for #1183: release nsec3 hashes per test file.

- Fix #1183: the data being used is released in method
  nsec3_hash_test_entry.

- Complete fix for max-global-quota to 200.

- More descriptive text for 'harden-algo-downgrade'.

- Increase the default of max-global-quota to 200 from 128 after
  operational feedback. Still keeping the possible amplification
  factor (CAMP related issues) in the hundreds.

Changelog entry for:
- Fix SETEX check during Redis (re)initialization.

- Fix SETEX check during Redis (re)initialization.

- Fix to log redis timeout error string on failure.

- Fix for the serve expired DNSSEC information fix, it would not allow
  current delegation information be updated in cache. The fix allows
  current delegation and validation recursion information to be
  updated, but as a consequence no longer has certain expired
  information around for later dnssec valid expired responses.

Changelog note for #1167
- Merge #1167: Makefile.in: fix occasional parallel build failures
  around bison rule.

Makefile.in: fix occasional parallel build failures around bison rule (#1167)

Without the change `make -j16 --shuffle` occasinally fails to build as:

    $ make -j16 --shuffle
    ...
    bison -y -d -o util/configparser.c ./util/configparser.y
    ...
    /libtool --tag=CC --mode=compile gcc -I.  -I...-openssl-3.3.2-dev/include -I...-libevent-2.1.12-dev/include -I...-expat-2.6.3-dev/include -DSRCDIR=. -g -O2 -flto -fPIE -pthread  -o configparser.lo -c util/configparser.c
    ...
    util/configparser.c:755:3: error: expected ',' or '}' at end of input
  755 |   YYSYMBOL_server_low_rtt = 626,           /* server_low_rtt  */
      |   ^

The build failure happens due to this `Makefile.in` rule:

    util/configparser.c util/configparser.h:  $(srcdir)/util/configparser.y
        @-if test ! -d util; then $(INSTALL) -d util; fi
        $(YACC) -d -o util/configparser.c $(srcdir)/util/configparser.y

For GNU make that means that each of the targets will attempt the rule
execution when the file is missing: one for .c file and another for .h
file:

    https://www.gnu.org/software/make/manual/html_node/Multiple-Targets.html

The workaround is to only run $(YACC) for .c target and use .c as a
pre-requisite for an .h file.

Before the change the build fails about every 10-th run.
After the change no build failures after 100 successful builds.

- Fix redis that during a reload it does not fail if the redis
  server does not connect or does not respond. It still logs the
  errors and if the server is up checks expiration features.

- Fix redis that during a reload it does not fail if the redis
  server does not connect or does not respond. It still logs the
  errors and if the server is up checks expiration features.

Changelog entry for #1157:
- Merge #1157 from Liang Zhu, Fix heap corruption when calling
  ub_ctx_delete in Windows.

Fix heap corruption when calling ub_ctx_delete in Windows (#1157)