- Fix CVE-2024-8508, unbounded name compression could lead to denial of
  service.

- Set version to 1.21.1

- Fix spelling for the cache-min-negative-ttl entry in the
  example.conf.

- Fix that for windows the module startup is called and sets up
  the module-config.

- Set version number to 1.21.0 for release.

- Fix CacheFlush issues with limit on NS RRs. Thanks to Yehuda Afek,
  Anat Bremler-Barr, Shoham Danino and Yuval Shavitt (Tel-Aviv
  University and Reichman University).

- Fix CAMP issues with global quota. Thanks to Huayi Duan, Marco
  Bearzi, Jodok Vieli, and Cagin Tanir from NetSec group, ETH Zurich.

- Fix that alloc stats for forwards and hints are printed, and when
  alloc stats is enabled, the unit test for unbound control waits for
  reloads to complete.

Changelog note for #1090
- Merge #1090: Cookie secret file. Adds
  `cookie-secret-file: "unbound_cookiesecrets.txt"` option to store
  cookie secrets for EDNS COOKIE secret rollover. The remote control
  add_cookie_secret, activate_cookie_secret and drop_cookie_secret
  commands can be used for rollover, the command print_cookie_secrets
  shows the values in use.

Cookie secret file (#1090)

* - cookie-secret-file, define struct.

* - cookie-secret-file, add config option, create, read and delete struct.

* - cookie-secret-file, check cookie secrets for cookie validation.

* - cookie-secret-file, unbound-control add_cookie_secret, drop_cookie_secret,
  activate_cookie_secret and print_cookie_secrets.

* - cookie-secret-file, test and fix locks, renew writes a fresh cookie,
  staging cookies get a fresh cookie and spelling in error message.

* - cookie-secret-file, remove unused variable from cookie file unit test.

* Remove unshare and faketime dependencies for cookie_file test; documentation nits.

---------

Co-authored-by: Yorgos Thessalonikefs <yorgos@nlnetlabs.nl>

Update changelog.
- Fix testbound for alloc stats strdup in util/alloc.c.

- Fix testbound for alloc stats strdup in util/alloc.c.

- Fix that alloc stats has strdup checks, it stops debuggers from
  complaining about mismatch at free time.

- Fix that the worker mem report with alloc stats does not attempt
  to print memory use of forwards and hints if they have been
  deleted already.

- Fix dnstap test program, cleans up to have clean memory on exit,
  for tap_data_free, does not delete NULL items. Also it does not try
  to free the tail, specifically in the free of the list since that
  picked up the next item in the list for its loop causing invalid
  free. Added internal unit test to unbound-dnstap-socket for that.

- Fix for #1114: Fix that cache fill for forward-host names is
  performed, so that with nonzero target-fetch-policy it fetches
  forwarder addresses and uses them from cache. Also updated that
  delegation point cache fill routines use CDflag for AAAA message
  lookups, so that its negative lookup stops a recursion since the
  cache uses the bit for disambiguation for dns64 but the recursion
  uses CDflag for the AAAA target lookups, so the check correctly
  stops a useless recursion by its cache lookup.

- Fix to document parameters of auth_zone_verify_zonemd_with_key.

- Add root key 38696 from 2024 for DNSSEC validation. It is added
  to the default root keys in unbound-anchor. The content can be
  inspected with `unbound-anchor -l`.

- For #935 and #1104, clarify RPZ order and semantics.

- Cleanup ede.tdir test.

- Fix link of unbound-dnstap-socket without openssl.

- Fix link of dnstap without openssl.

- Fix uninitialized variable warning in create_tcp_accept_sock.

- Fix to have empty definition when not supported for weak attribute.

- Fix compile when the compiler does not support the noreturn
  attribute.

- For #1110: Test for fallthrough attribute in configure and add
  fallthrough attribute annotations.

Merge pull request #1110 from r-barnes/patch-1

Make fallthrough explicit for libworker.c

- Fix #1106: ratelimit-below-domain logs the wrong FROM address.

Make fallthrough explicit for libworker.c

The code currently doesn't compile with LLVM's `-Wimplicit-fallthrough` flag, but the attribute works for both GCC (>=7) and LLVM.

- Fix dnstap wakeup, a running wakeup timer is left to expire and not
  increased, a timer is started when the dtio thread is sleeping,
  the timer set disabled when the dtio thread goes to sleep, and
  after sleep the thread checks to see if there are messages to log
  immediately.

- Add dnstap-sample-rate that logs only 1/N messages, for high volume
  server environments. Thanks Dan Luther.

- For #1103: Fix to drop mesh state reference for the http2 stream
  associated with the reply, not the currently active stream. And
  it does not remove it twice on a mesh_send_reply call. The reply
  h2_stream is NULL when not in use, for more initialisation.

- For #1103: fix to also drop mesh state reference when the discard
  limit is reached, when there is an error making a new recursion
  state and when the connection is dropped with is_drop.

Merge branch 'master' of github.com:NLnetLabs/unbound

- For #1103: fix to also drop mesh state reference when a h2 reply is
  dropped.

- For #1102: clearer text for using interface-* options for the
  loopback interface.

- Fix #1103: unbound 1.20.0 segmentation fault with nghttp2.

- Add RPZ tag tests in acl_interface.tdir.

- For #773: In contrib/unbound.service.in set unbound to start after
  network-online.target. Also for contrib/unbound_portable.service.in.

- Update list of known EDE codes.

- Fix shadowed error string variable in validator dnskey handling.

- Fixup algo_needs_reason string buffer length.

- Fix that validation reason failure that uses string print uses
  separate buffer that is passed, from the scratch validation buffer.

- Don't check for message TTL changes if the RRsets remain the same.

- Fix for #1099: Fix to check for deleted RRset when the contents
  is updated and fetched after it is stored, and also check for a
  changed RRset.

- Fix #1099: Unbound core dump on SIGSEGV.

- Fix neater printout.

- Fix for neater printout for error for missing DS response.

- Fix to print details about the failure to lookup a DNSKEY record
  when validation fails due to the missing DNSKEY. Also for key prime
  and DS lookups.

- Fix compile warnings in fptr_wlist.c.

- Fix to remove unneeded linebreak in fptr_wlist.c.

- Fix to use modstack_init in zonemd unit test.

- Add unit test skip files and bison and flex output to gitignore.

Changelog entry for #144 and #1098
- Fix #144: Port ipset to BSD pf tables.

Merge pull request #1098 from NLnetLabs/ipset-pf-support

Ipset pf support

ipset-pf-support, move startup and destartup to the front of the module
func block functions, modstack call deinit function names, and detect
module change when no startup functions are needed.

Apply suggestions from code review

Co-authored-by: Yorgos Thessalonikefs <yorgos@nlnetlabs.nl>

- Fix for repeated use of a DNAME record: first overallocate and then
  move the exact size of the init value to avoid false positive heap
  overflow reads from address sanitizers.

- Fix compile warning in worker pthread id printout.

- Fix unused variable warning in do_cache_remove.

- Fix to remove unused include from the readzone test program.

ipset-pf-support, simplification of code.

- ipset-pf-support, fix to skip unit test if no pf dev.

ipset-pf-support, fix to log error on failure to open pf.

ipset-pf-support, fix to remove unused include, free at end, adjust
qname for comparison.

Call module init init again, and new function startup and destartup.
NULL can be used if the function is not used. Open shared ports during
reload. Deinit is called during reload.

ipset-pf-support, fix compilation, close of pf socket.

Merge branch 'master' of https://github.com/madroach/unbound into ipset-pf-support

- Fix ip-ratelimit-cookie setting, it was not applied.

- Explicitly set the RD bit for the mesh query flags when prefetching.
  These queries have no waiting client but they need to be treated as
  recursive.

- Fix pkg-config availability check in dnstap/dnstap.m4 and
  systemd.m4.
- autoconf.

- Fix #1092: Ubuntu 22.04 Jammy fails to compile unbound 1.20.0; by
  adding helpful text for the Python interpreter version and allowing
  the default pkg-config unavailability error message to be shown.
- autoconf.

- Fix #1091: Build fails with OpenSSL >= 3.0 built with
  OPENSSL_NO_DEPRECATED.

- Add unit test for validation of repeated use of a DNAME record.

- Fix validation for repeated use of a DNAME record.

- Fix typos for 'the the' in text.

- Fix memory leak in setup of dsa sig.

- Merge #1080: AddressSanitizer detection in tdir tests and memory leak
  fixes.

- Skip unbound-dnstap-socket unit test when not compiled with
  --enable-debug.

- Fix to squelch connection reset by peer errors from log. And fix
  that the tcp read errors are labeled as initial for the first calls.

- Fix memory leak on exit for unbound-dnstap-socket; creates false negatives
  during testing.

- Fix memory leak when reload_keep_cache is used and num-threads changes.

- Enable AddressSanitizer error detection in tdir tests.

- Fix for #1079: fix RPZ taglist in iterator callback that no client
  info is like no taglist intersection.

- Fix #1079: tags from tagged rpz zones are no longer honored after
  upgrade from 1.19.3 to 1.20.0.

Changelog note for #1078.
- Merge #1078: Only check old pid if no username.

Merge pull request #1078 from vopatek/master

Only check old pid if no username

Only check old pid if no username

Do as the comment says and only check old pid if there is no username
configured.

- Update patch to remove 'command' shell builtin and update error
  text.

unbound-control-setup: check openssl

Before doing anything, check if openssl binary (which we will use)
is available, and print a useful error message if it is not found.

- Fix unused variable warning on compilation with no thread support.

- Fix spelling of tcp-idle-timeout docs, from Michael Tokarev.

- Fix to enable that SERVFAIL is cached, for a short period, for more
  cases. In the cases where limits are exceeded.

Changelog entry for #1059:
- Fix #1059: Intermittent DNS blocking failure with local-zone and
  always_nxdomain. Addition of local_zones dynamically via
  unbound-control was not finding the zone's parent correctly.

Proper parent identification for dynamically entered local zones (#1076)

- Fix #1059: Intermittent DNS blocking failure with local-zone and
  always_nxdomain. Addition of local_zones dynamically via
  unbound-control was not finding the zone's parent correctly.

- Fix #1064: Unbound 1.20 Cachedb broken?
Add unit test for validation status commit.

- Fix for #1064: Fix that cachedb expired messages are considered
  insecure, and thus can be served to clients when dnssec is enabled.

- Fix for parse end of forward-zone, stub-zone and view.

- Fix to print a parse error when config is read with no name for
  a forward-zone, stub-zone or view.

Changelog note for #1073.
- Merge #1073: fix null pointer dereference issue in function
  ub_ctx_set_fwd.