TMP: hotfix 64-bit time_t for Turris Omnia, OS 7

Merge branch 'keytrap-related' into 'master'

improve assertions around current releases

See merge request knot/knot-resolver!1506

lib/cache: bump CACHE_VERSION

Ideally we would've done that at once with increasing NSEC3 strictness,
i.e. in 5.7.1 + 6.0.6, as otherwise we could run into some recoverable
assertions until the records got removed or expired.
We at least do the bump now.

lib/dnssec: fix imprecise assertion

It was no longer correct after commit cc5051b444130 (KeyTrap).

release 5.7.1

Merge: mitigate CVE-2023-50387 "KeyTrap"

DNSSEC verification complexity could be exploited to exhaust CPU resources and stall DNS resolvers.

Solution boils down mainly to limiting crypto-validations per packet.

update NEWS with KeyTrap

in a separate commit, as it will tend to conflict if patching

mitigate KeyTrap DoS = CVE-2023-50387

Improve: don't retry in this case.

mitigate KeyTrap DoS = CVE-2023-50387

lib/resolve kr_request_set_extended_error(): tweak priorities

Keep the first error in case priorities are equal.

At least with the current KeyTrap topic that should work better,
but blaming a single error is alchemy anyway, at least in some cases.

lib/dnssec kr_rrset_validate_with_key(): deduplicate cleanup

Merge CVE-2023-50868: NSEC3 closest encloser proof can exhaust CPU

validator: compatibility with older libknot versions

The value is in IANA registry, so it's very constant anyway.

add NEWS for NSEC3 mitigations from the previous few commits

validator: refuse to validate answers with more than 8 NSEC3 records

validator: limit the amount of work on SHA1 in NSEC3 proofs

lib/cache: limit the amount of work on SHA1

That's when searching NSEC3 aggressive cache.

validator: similarly also limit excessive NSEC3 salt length

Limit combination of iterations and salt length, based on estimated
expense of the computation.  Note that the result only differs for
salt length > 44 which is rather nonsensical and very rare:
https://chat.dns-oarc.net/community/pl/h58qx9sjkbgt9dajb7x988p78a

validator: lower the NSEC3 iteration limit (150 -> 50)

Also done by BIND9 >= 9.19.19:
https://gitlab.isc.org/isc-projects/bind9/-/merge_requests/8515

The latest real-life measurements show that values above 50 are rare:
https://chat.dns-oarc.net/community/pl/aadp9wwrp7g7ux1b8chbzebmze

Merge branch 'pkg-bionic' into 'master'

pkg/distro/deb: fix doc build for Ubuntu 18.04

See merge request knot/knot-resolver!1495

pkg/distro/deb: fix doc build for Ubuntu 18.04

Due to mysterious reasons, Ubuntu 18.04 ARM builds doesn't invoke
dh_installinfo (even though amd64 does).

Merge knot-resolver-doc.info into knot-resolver-doc.docs for
compatibility.

distro/pkg/deb: bump debhelper compat to 11

Oldest supported distro requiring 11 is Ubuntu 18.04 Bionic Beaver.

Merge !1494: compatibility with libknot's master (3.4 WIP)

compatibility with libknot's master (3.4 WIP)

I'm adding this as a function, as in knot-resolver 6.x we have
one more place where it is used, and I find this more readable.

Merge branch 'doc-logo-manual-colors-5' into 'master'

doc: adjust colors according to the logo manual

See merge request knot/knot-resolver!1489

doc: adjust colors according to the logo manual

Merge branch 'sonarcloud-5-update' into 'master'

ci/images/debian-11: update sonarcloud to version 5

See merge request knot/knot-resolver!1488

ci/images/debian-11: update sonarcloud to version 5

Old version caused failures due to unsupported Java version 11.

Merge !1486: doc/requirements.txt: add sphinx_rtd_theme

doc/requirements.txt: add sphinx_rtd_theme

This should fix the ReadTheDocs build

Merge branch 'docs-pages-5-backport' into 'master'

Backport hosting docs in GitLab Pages into 5.x

See merge request knot/knot-resolver!1485

.gitlab-ci: remove the `pages` job for 5.x

doc/conf.py: jquery workaround

.gitlab-ci: upgrade pip packages

scripts/make-doc.sh: backport changes from 6.0

.gitlab-ci: remove old 'doc' target

.gitlab-ci: fix Pages publishing

This commit renames `docs:public` to `pages` as required by GitLab CI to
recognize Pages jobs correctly. It also adds the `public` directory into
`artifacts:paths`.

.gitlab-ci.yml: use environments for documentation versioning

This leverages Environments on GitLab to expose different versions of
Knot Resolver docs. The `docs:build` job builds the documentation and
exposes it via job artifacts. Then `docs:develop` (for branches) and
`docs:release` (for tags) take these artifacts and expose them via an
Environment link (an example of this in action may be seen at
[https://gitlab.nic.cz/ostava/knot-resolver/-/environments]).

There is also an optional, manually runnable `docs:public` job, which,
when run, propagates the documentation to the main GitLab Pages of the
project (e.g. [https://knot.pages.nic.cz/knot-resolver]) - this will
probably be mostly used for the latest release, although this setup
pretty much allows us to swap it for whatever version we like at any
time.

Merge !1478: etc/root.hints: B.root-servers.net updated addresses

etc/root.hints: B.root-servers.net updated addresses

Officially yesterday, but there's long overlap when both address pairs
are promised to work.  See e.g. this e-mail thread:
https://lists.dns-oarc.net/pipermail/dns-operations/2023-June/022052.html

Merge !1470: lib/zonecut.c fetch_addr(): resurrect filtering by NO_IPV*

lib/zonecut.c fetch_addr(): resurrect filtering by NO_IPV*

This filtering was dropped in 4565cc596680 (v5.3.0).
Now it's reintroduced - but inside the function, as that seems nicer.
Nit: naming and comment were updated to fit the current usage.

As the code is designed so far (in whole history probably), in order
to detect whether we need to choose a zone cut closer to the root,
we need to do something like this in lib/zonecut.c already,
instead of just during server selection.

I don't think this change can break anything.
Fetching unusable addresses from cache seems pointless,
as selection wouldn't be allowed to use them or try resolving them.

Merge branch 'news-5.7.0' into 'master'

NEWS: improve the security entry in 5.7.0

See merge request knot/knot-resolver!1468

NEWS: improve the security entry in 5.7.0

Merge !1463: ci macOS: update Knot DNS

ci macOS: wait on *both* builds

At least I hope this will work as expected.

ci macOS: update Knot DNS

Merge branch 'release-5.7.0' into 'master'

release 5.7.0

See merge request knot/knot-resolver!1448

NEWS: date update

AUTHORS update

release 5.7.0

daemon: more avoidance of excessive TCP reconnections

Previously this penalization was only triggered if the remote server
closed TCP.  Now it's extended to us closing it when the server
(only) sends back some nonsense.  At least for the cases which I could
see immediately.

That's just three trivial one-line additions; the rest is refactoring.

Merge !1441: .readthedocs.yaml: migrate configuration from web app

.readthedocs.yaml: migrate configuration from web app

Read the Docs is deprecating their web configuration. This commit
should migrate said configuration to the newly recommended YAML format.

Merge !1422: avoid knot_pkt_default_padding_size()

avoid knot_pkt_default_padding_size()

The reserved size in packet is a messy thing, broken by
https://gitlab.nic.cz/knot/knot-dns/-/commit/ded5fbf01d00a875f141
Fortunately this function is trivial, so we can inline what we need.
It gets complicated by an earlier typo fix, though.

Merge !1406: hints: fix names inside home.arpa.

hints: fix names inside home.arpa.

Reported on https://forum.turris.cz/t/knot-resolver-with-local-fqdn-hostnames/19034/8

I write it as three comparisons, as it seems like a simple way of
still running only a single comparison in the typical case of QNAME
not falling under .arpa.

Tested just quickly, manually.  This chunk of code already is replaced
for kresd >= 6.0.0.

Merge !1405: stricter C warnings: fix and add them to defaults+CI

meson: add more warnings from the C compiler

I tested this still builds with gcc 6, gcc 13, clang 7, clang 16.
Our CI additionally does `-Werror`, so that the properties
will get maintained (on some Debian's default compiler and clang).
Warnings with gcc 13 seem clear for me now, too.

treewide: fix -Wold-style-*

treewide: fix -Wstrict-prototypes

Merge !1404: tests/dnstap: let Go handle its transitive dependencies

tests/dnstap: let Go handle its transitive dependencies

Dependabot reported that we have some vulnerable dependencies. The
problem is that the ones it wants to bump to do not support older Go
versions, which we need to use due to some distros not having the most
recent Go packages available.

The `go.sum` file contains the outdated ones (because I tried with an
older Go), but as far as I can tell, from Go docs and other places, it
is actually not a lockfile, so newer Go should update the packages
regardless of what is in `go.sum`.

Merge !1403: tests, ci: fix and reintroduce dnstap tests + nits

tests/pytests: adapt to new pylint

New version of pylint removed the disabled `bad-continuation` check. It
also added a parens check that we were violating in
`test_random_close.py`, which is now fixed as well.

ci/images/README: add KNOT_BRANCH explanation

ci: reintroduce Go tests into the CI

tests/dnstap: fix for Go 1.19 (and possibly others)

Merge !1401: lib/cache pkt_renew(): fix an edge-case bug

lib/cache pkt_renew(): fix an edge-case bug

It could happen that this condition didn't get triggered,
but the structures weren't completely clear.  In particular,
the current section could be past KNOT_ANSWER already.
Let's be more conservative here; pkt_recycle() shouldn't be expensive.

I'm not sure why I only ran into this on the new-policy branch,
but it really seems like bug here on master already.

Merge !1397: hints docs: explain root hints better

hints docs: explain root hints better

The removed tip seemed especially misleading;
I don't think our root hints could've ever been used that way.
And latency to root servers has practically no impact on latency
of replies to reasonable answers (just like... once per day and TLD).

Merge !1398: ci: drop debian 9

ci: drop debian 9

It looks like downloads won't work anymore:
 https://gitlab.nic.cz/knot/knot-resolver/-/jobs/890201
 https://gitlab.nic.cz/knot/knot-resolver/-/jobs/890312
which is probably because long-term support ended last summer.

Merge !1396: tests/integration/deckard: update

tests/integration/deckard: update

Adds just https://gitlab.nic.cz/knot/deckard/-/merge_requests/220

Merge !1392: forwarding mode: tweak dealing with failures from forwarders

NEWS: entry describing the previous three commits

The changes are potentially too significant to do in a patch update.

improve handling of SERVFAIL from forwarders

- selection: utilize address_state::broken also when forwarding
- selection: drop fallbacks that don't make sense when forwarding
- iterate: copy EDE codes on DNSSEC SERVFAILs

lib/resolve: when forwarding, prefer to send CD=0 upstream

lib/resolve query_finalize: handle RD flag even if NO_EDNS

Merge !1390: nits: destination-based view, ephemeral TLS cert

view: fix destination-based matching

Apparently it's never worked since its introduction.

.addr is non-nil exactly when .dst_addr is non-nil
(which hapens iff the query originated externally).
Now we have semantics which was probably intended by the original code
(982162956a from 2016) but that semantics is still problematic
if you need both kinds of matching in a single request from client.

This matching by destination has never made it to docs,
so let's just add this simple fixup for now, and later
we'll steer users to new policy configuration anyway.

daemon/tls_ephemeral_credentials nit: improve cert serial

I don't expect this matters, but why not fix this
to do what was intended (by the comment).
Discovered by Daniel Salzman <daniel.salzman@nic.cz>

Merge !1384: Fix building on Cygwin

Fixes #781

add a NEWS item for these "cygwin changes"

We won't really support cygwin builds,
so I avoided saying the name and explaining details.

Fix building on Cygwin

This commit adds support for building on Cygwin/MSYS2.

Signed-off-by: Christopher Ng <facboy@gmail.com>

Revert "meson: use correct luajit includes from pkgconfig"

This reverts commit 0b9524b7d6680f892671fc4e7a2e5c603848cf60.

The hack shouldn't be needed anymore:
https://github.com/Homebrew/homebrew-core/commit/4369052170f4360b7ad545f23b8a01a4ccb37683#diff-59a7902ada251dd9dba99b5bd323c1dba1d102d244ce766c06ce00097fb82e8fL71

This isn't an exact revert, but differences are minor.

Merge !1388: daemon/engine: warning when log_groups contains a non-existent group

daemon/engine: warning when log_groups contains a non-existent group

Until now, kresd would refuse to start when a log_groups Lua call
contained a non-existent group. After this change, only a warning is
printed, which helps during development while switching between branches
with new logging groups. I don't think changing the configuration all
the time just for a logging group is warranted.

Merge !1386: lib/utils: fix timestamp format in dumps of records

lib/utils: fix timestamp format in dumps of records

The debug dumps of packets used UNIX timestamps (in RRSIG validity)
instead of the customary human stamps.
This was an unintentional regression of 0555828e, i.e. since v5.4.1

I looked again at all other differences from default kdig style,
and the only ones are that we don't show class and don't do IDN.
(both seem suitable here)

Merge !1387: ci: fix macOS builds

ci: fix macOS builds

Let's specify more of the dependencies explicitly.
I suspect it was pkg-config that was missing;
https://github.com/CZ-NIC/knot-resolver/actions/runs/4241689540/jobs/7372234570

Merge !1383: ci: leap < 15.4 are dead

ci: leap < 15.4 are dead

These packaging tests are dying anyway;
the manager branch reworked them.
So at least the breakages won't be shown in red until then.

https://gitlab.nic.cz/knot/knot-resolver/-/jobs/852665
https://build.opensuse.org/request/show/1050454

obs:leap15 after updating fails later in the vagrant step though:
https://gitlab.nic.cz/knot/knot-resolver/-/jobs/852799

Merge !1378: tests/pytests: quality-of-life improvements and notes

tests/pytests: quality-of-life improvements and notes

Added the option to run `kresd` inside `pytests` under `valgrind` and
`rr`, which can help with debugging. Also added a clarifying note that I
personally would have liked to have while exploring this.

Merge !1382: tests/pytests: adapt to stricter handling of trailing bytes