Merge pull request #14883 from romeroalx/backport-14862-to-rec-4.9.x

rec-4.9.x: Backport 14862 - builder: remove ubuntu lunar+mantic as they are EOL

builder: remove ubuntu lunar+mantic as they are EOL

Merge pull request #14826 from omoerbeek/gh-artifact-4.9.x

rec-4.9.x: move from up/download-artifact@3 to @4

rec-4.9.x: move from up/download-artifact@3 to @4

Merge pull request #14745 from omoerbeek/rec-4.9.9-branch

rec: backport of CVE-2024-25590 to rec-4.9.x: limit maximum size of rr sets in record cache

Backport to rec-4.9.x: limit maximum size of rr sets in record cache

Merge pull request #14503 from omoerbeek/backport-14499-to-rec-4.9.x

rec: Backport 14499 to rec-4.9.x: optimize processing of additionals

rec: optimize processing of additionals

(cherry picked from commit cd2de2ee7ad55f295a00dfce5488ee3863d974d6)

Merge pull request #14483 from omoerbeek/backport-14471-to-rec-4.9.x

rec: Backport of 14471 to rec-4.9.x: dump right SOA into dumpFile and report non-relative SOA for includeSOA=true

Merge pull request #14480 from omoerbeek/backport-14404-to-rec-4.9.x

rec: Backport 14404 to rec-4.9.x: Yahttp router: avoid unsigned underflow in route()

Merge pull request #14490 from omoerbeek/backport-14486-to-rec-4.9.x

rec: Backport 14486 to rec 4.9.x: pin pysnmp to version 5 for regression tests

Also pin pysnmp version for dnsdist regression tests

(cherry picked from commit 5d3db32982e7a06a9e653529baa2fb67e24d7189)

rec: pin pysnmp to version 5 for regression tests

(cherry picked from commit 4d44d3076051fe27ee91e847a3600ad19c44fd72)

rec: dump right SOA into dumpFile and report non-relative SOA for includeSOA=true

(cherry picked from commit 397da738caad01df0da04387083c73a0e941608b)

Yahttp router: avoid unsigned underflow in route()

Merge pull request #14445 from omoerbeek/rec-4.9.x-daily-el7

rec 4.9.x: daily build for el-7 instead of centos-7

rec 4.9.x: daily build for el-7 instead of centos-7

Merge pull request #14413 from omoerbeek/backport-14400-to-rec-4.9.x

rec: Backport 14400 to rec 4.9.x: switch el7 builds to Oracle Linux 7

switch el7 builds to Oracle Linux 7

(cherry picked from commit 73a1b98f92c671c590540ac19d74d70499f89066)

Merge pull request #14416 from omoerbeek/backport-14359-to-4.9.x

rec: Backport 14359 to 4.9.x: dns.cc: use pdns::views::UnsignedCharView

Add views.hh to pdns_recursor_SOURCES

dns.cc: use pdns::views::UnsignedCharView

Includes minor cleanup and additions to make UnsignedCharView usable for this use case.
Supersedes #14356
Fixes
/usr/include/c++/v1/__fwd/string_view.h:22:41: warning: 'char_traits<unsigned char>' is deprecated: char_traits<T> for T not equal to char, wchar_t, char8_t, char16_t or char32_t is non-standard and is provided for a temporary period. It will be removed in LLVM 19, so please migrate off of it. [-Wdeprecated-declarations]

(cherry picked from commit 949ea9456dbe76e78aeff5f6f37f218549d1b493)

import views.hh from master

Merge pull request #14380 from omoerbeek/backport-14373-to-rec-4.9.x

rec: Backport 14373 to rec 4.9.x: Remove potential double SOA records if the target of a dns64 name is NODATA

Add test for duplicate SOA record in the dns64/NODATA case

(cherry picked from commit 84702509275d1d57fab944c27f9970e4cf8dccec)

Remove potential double SOA records if the target of a dns64 name is NODATA

(cherry picked from commit 40d632980b5734a08bd19015ee636ab5564e125a)

Merge pull request #14352 from omoerbeek/backport-14346-to-rec-4.9.x

rec: Backport 14346 to rec-4.9.x: fix TCP case for cached policy tags

rec: Backport 14346 to rec-4.9.x: fix TCP case for cached policy tags

Cherry picked from
6a3943374904b39769d8c6fcb3923b6456814d19 and 9bddb82fd4166c83b055f037f775f33471403704

Backport of #14351

Merge pull request #14317 from romeroalx/backport-14241-to-rec-4.9.x

rec-4.9.x: Backport removal of centos-8 and centos-8-stream as build targets

rec: Upgrade regression tests to use pytest instead of nose

One mysterious failure on Debian bookworm spotted:
test_EDNS.py does not seem to set the right edns version on the outgoing
query. To be investigated.

use the apt version of python3 for clang-tidy

remove centos-8 and centos-8-stream as build targets

Merge pull request #14287 from romeroalx/backport-14171-to-rec-4.9.x-2

rec-4.9.x: backport of #14171 for fixing the build of images on new tags

gh actions: add WF for building and pushing images when a new tag is created

gh actions: add WF for building and pushing images manually

gh actions: modify docker.yml for building and pushing images daily (master)

gh actions: add WF for building and pushing multi-platform images on workflow_call events

Merge pull request #14209 from romeroalx/backport-14171-to-rec-4.9.x

rec-4.9.x: Partial backport of #14171 for fixing the build of arm64 images

Adding liblua5.3-dev/libluajit-5.1-dev to dockerfiles

Merge pull request #14092 from omoerbeek/backport-14044-to-rec-4.9.x

rec: Backport 14044 to rec-4.9.x: gh actions - replace yq snap in collect job build-and-test-all

gh actions - replace yq snap in collect job build-and-test-all

(cherry picked from commit 3a5fb2cb7e890e1ebb0e0e75f6349640fc76f878)

Merge pull request #14133 from romeroalx/backport-14132-to-rec-4.9.x

rec: Backport 14132 to rec-4.9.x: gh actions - build-and-test-all: use ubuntu-22.04 runners

gh actions - build-and-test-all: use ubuntu-22.04 runners

Merge pull request #14093 from omoerbeek/backport-14049-to-rec-4.9.x

rec: Backport 14049 to rec-4.9.x: do not count RRSIGs using unsupported algorithms toward RRSIGs limit

Merge pull request #14109 from omoerbeek/rel/rec-4.9.5-branch

rec: merge rec-4.9.5 back onto rel/rec-4.9.x

rec: do not count RRSIGs using unsupported algorithms toward RRSIGs limit

(cherry picked from commit 834660b5c62fe7a8bcf93b0182f26fbfa5464ecc)

rec: backport CVE-2024-25583 to rel/rec-4.9.5-branch

A name can be present already when building the cname chain.

Merge pull request #13995 from omoerbeek/backport-13984-to-rec-4.9.x

rec: Backport 13984 to rec-4.9.x: Correctly count NSEC3s considered when chasing the closest encloser

Merge pull request #13994 from omoerbeek/backport-13926-to-rec-4.9.x

rec: Backport 13926 to rec 4.9.x: fix trace=fail regression and add regression test for it

Merge pull request #13993 from omoerbeek/backport-13849-to-rec-4.9.x

rec: Backport 13849 to rec 4.9.x: Only print Docker config if debug flag is set

rec: Correctly count NSEC3s considered when chasing the closest encloser

We need to count the number of NSEC3s that are present in the response,
not the number of times we have to consider possible NSEC3s when
looking for the NSEC3 closest encloser, label by label.

(cherry picked from commit c4f4d09654bde9d389e83f0bc8eadc6b665e9de9)

ZTC regression test does not need auths

(cherry picked from commit 250a8012a85c8cee7b6eaff97ff55fe4a335bf45)

rec: fix trace=fail regression and add regression test for it

(cherry picked from commit c2f2d82c3f52bb62df33f0b7e57d55a88cdbe222)

nits

(cherry picked from commit 688d5dbdba626e3a36af37a8629c6fab6e5d5a1a)

Only print config if debug flag is set

Signed-off-by: Carolin Dohmen <carodohmen@gmail.com>
(cherry picked from commit d773b7bb99418026c3907ebd4b4e994a61fccecd)

Merge pull request #13853 from omoerbeek/backport-13847-to-rec-4.9.x

rec: Backport 13847 to rec 4.9.x: Fix gathering of denial of existence proof for wildcard-expanded names

rec: Apply Otto's suggestions

(cherry picked from commit f8a286bb2a45fb51ea90399b793ec40665824430)

rec: Fix clang-tidy warnings

(cherry picked from commit f74ca9e44868f44c4fe6460bed1b7629dcf027f4)

rec: Add a unit test for the gathering of denial of existence proof for wildcard-expanded names

(cherry picked from commit bedfbaa1912ee464a61dc7996341574040fab84a)

rec: Fix gathering of denial of existence proof for wildcard-expanded names

When the recursor is forwarding to a resolver, we accept the names composing
the CNAME chain starting at the queried name. This means we also need to gather
the denial of existence proof for CNAMEs that were expanded from a wildcard,
otherwise the response sent to the client cannot be DNSSEC-validated.

(cherry picked from commit 2eb9f095fe06f77cd816135c03c7ac558e0f324d)

Merge pull request #13795 from omoerbeek/backport-13788-to-rec-4.9.x

rec: Backport 13788 to rec-4.9.x: fix the zoneToCache regression introduced by SA 2024-01

Merge pull request #13793 from omoerbeek/backport-13387-to-rec-4.9.x

rec: Backport of 13387 to rec-4.9.x: Update new b-root-server.net addresses in built-in hints.

Merge pull request #13792 from omoerbeek/backport-13543-to-rec-4.9.x

rec: Backport 13543 to rec 4.9.x: a single NSEC3 record covering everything is a special case

Test ZTC with root zone

1. If code changes make the validation fail we want to know.
2. If root zone changes break something we want to know as well, this might even be more important than 1.

So I think we just have to accept the occasional network issues on GH.

(cherry picked from commit 5e7b96061de80b4cb52f52a65fed274a1e666e73)

rec: fix the zoneToCache regression introduced by SA 2024-01

Test will follow

(cherry picked from commit c7f594e2dcda23fdc2ae2c4246da3e7c519f897e)

rec: Update new b-root-server.net addresses in built-in hints.

Is going to be effective 20231117. Both existing and new addresses
work already at the moment of writing (20211017).

https://www.lacnic.net/6869/2/lacnic/lacnic-assigns-number-resources-to-the-usc_isi-dns-root-server

Fixes #12897

(cherry picked from commit 5d6b31d85ab8c10443090fff5605aed580e30fcc)

Add test

(cherry picked from commit 3f6fb380917db42c6c1c5281ff3e9efe1a31761a)

rec: a single NSEC3 record covering everything is a special case

Fixes #13542

(cherry picked from commit 257b23b4f55031a94b04c472489c3806ab57a244)

Merge pull request #13832 from omoerbeek/backport-13813-to-rec-4.9.x

rec: Backport 13813 to rec 4.9.x: dnspython's API changed wrt NSID, apply (version dependent) fix in regression test

Typos

4.9.x uses unittest instead of pytest

rec: dnspython's API changed wrt NSID, apply (version dependent) fix in regression test

See https://dnspython.readthedocs.io/en/stable/whatsnew.html 2.6.0 2nd bullet

(cherry picked from commit e1ea89984da1c10850dd0cb4e7d4d7ee501e078d)

Merge pull request #13794 from omoerbeek/backport-13787-to-rec-4.9.x

rec: Backport 13787 to rec 4.9.x: skip a few tests that depend on sidnlab's public test setup that no longer works

rec: skip a few test that depend on sidnlab's public test setup that no longer works

(cherry picked from commit 1c47d58191e285aa2f85c24bbddba55f95cd58a2)

Merge pull request #13783 from omoerbeek/rec-backport-keytrap-to-4.9.x

rec: Backport Keytrap to rec-4.9.x

Better handling of DNSKEY validation failures

Add a new 'max-ds-per-zone' setting and immediately return BogusNoValidDNSKEY when we hit a limit in validateDNSKeysAgainstDS()

Establish (now validated) defaults for all new settings

rec: Fix validation accounting in validateDNSKeysAgainstDS()

The counter was sometimes increased even though no actual validation
was performed, because the corresponding DNSKEY was not (yet) trusted.

Backport of keytrap to 4.9.x up to 5f6726ca4c759cb6c8fb5f131334dab64a4980d5

Merge pull request #13694 from omoerbeek/backport-13675-to-rec-4.9.x

Backport 13675 to rec 4.9.x: Fix documentation building error for dnsdist and recursor

dnsdist: Fix the version of alabaster when building the doc

Fixes
```
The alabaster extension used by this project needs at least Sphinx v3.4; it therefore cannot be built with this version.
```

(cherry picked from commit c2a7ef8bd4f2423e2dc0eaa4d4a46de99b44636b)

rec: Fix the version of alabaster when building the doc

Fixes
```
The alabaster extension used by this project needs at least Sphinx v3.4; it therefore cannot be built with this version.
```

(cherry picked from commit ac89467f17bb888fbd48c0f4c5267beab95aebee)

Merge pull request #13570 from romeroalx/rel/rec-4.9.x-workflow-call

GH Actions - rel/rec-4.9.x: make `build-and-test-all` and `builder` workflows reusable from other branches

make builder workflow reusable

make build-and-test-all reusable

test ubuntu jammy build target

builder: drop ubuntu kinetic, it is EOL

Merge pull request #13449 from omoerbeek/backport-13409-to-rec-4.9.x

rec: backport 13409 to rec-4.9.x: handle serve stale logic in getRootNXTrust()

rec: handle serve stale logic in getRootNXTrust()

Superseded #13383 by calling the general get() function that has
all the special cases covered.

(cherry picked from commit e2bfa1460d5b9e4e470c2f8829ef6c10bc583c73)

Merge pull request #13440 from omoerbeek/rec-backport-13237-to-rec-49x

rec: backport 13237 to rec-4.9.x: Be even more lenient in allowing timing differences

rec: backport 13237 to rec-4.9.x: Be even more lenient in allowing timing differences

Backport of #13237

Merge pull request #13411 from omoerbeek/backport-13353-to-rec-4.9.x

rec: Backport 13353 to rec 4.9.x:  If serving stale, wipe CNAME records from cache when we get a NODATA negative response for them

Merge pull request #13412 from omoerbeek/backport-13408-to-rec-4.9.x

rec: Backport 13408 to rec-4.9.x: Handle stack memory on NetBSD as on OpenBSD

Handle stack memory on NetBSD as on OpenBSD

(cherry picked from commit d6ff1755940d77ca502bf21a8f2d4d690252d0d2)

Tidy

(cherry picked from commit db263dde8799c6d6af58f02bf63ec1aeb8eed50d)

If serving stale, wipe CNAME records from cache when we get a NODATA negative response for them
PR #12395 already did that for the NXDOMAIN case.

(cherry picked from commit 60ba49d38e5ded2df5a367d8acacba8b8ec3d2cc)

Merge pull request #13286 from omoerbeek/backport-13092-to-rec-4.9.x

rec: Backport 13092 to rec 4.9.x: prevent two cases of copy of data that can be moved

Add NOLINT marker for readability-function-cognitive-complexity

Merge pull request #13285 from omoerbeek/backport-13224-to-rec-4.9.x

rec: Backport 13223 to rec-4.9.x: auto-build on tags and generate provenance