Auth: Add debug logging to UeberBackend and BackendMakerClass

When trying to load backend module files.

Merge pull request #14165 from omoerbeek/rec-prep-20240514

rec: prep for 20240514 releases

Merge pull request #14167 from rgacogne/ddist-custom-webhandler-race

dnsdist: Prevent a race when calling `registerWebHandler` at runtime

Merge pull request #14156 from rgacogne/ddist-fix-assertion-doh-xfr-tcp

dnsdist: Fix handling of XFR requests over DoH

dnsdist: Prevent a race when calling `registerWebHandler` at runtime

The `registerWebHandler()` Lua method can be used to tie a custom Lua
function to an HTTP endpoint. This function was clearly not intended
to be used at runtime but this was never enforced, so let's prevent
a race condition by wrapping the internal web handlers map in a lock.

Merge pull request #14164 from dwfreed/patch-1

Fix formatting of PowerDNS SA 2024-03

Fix formatting of PowerDNS SA 2024-03

Add a newline so that the list of workarounds actually becomes a list.

Merge pull request #14158 from omoerbeek/rec-src-address-docs

rec: mention subnets are not allowed (yet) in query-local-address/outgoing.source_address

rec: prep for 20240514 releases

Merge pull request #14157 from Habbie/dnsupdate-require-tsig-docs-5.0

auth docs, clarify that dnsupdate-require-tsig is new in 5.0

Merge pull request #14160 from rgacogne/ddist-1.9.4-secpoll-changelog

dnsdist: Update the secpoll zone and the ChangeLog for 1.9.4

dnsdist: Fix the PR number in the ChangeLog

dnsdist: Add security advisory 2024-03 for DNSdist

Better wording and typo

Co-authored-by: Peter van Dijk <peter.van.dijk@powerdns.com>

rec: mention subnets are not allowed (yet) in query-local-address/outgoing.source_address

Fixes #14148

auth docs, clarify that dnsupdate-require-tsig is new in 5.0

dnsdist: Fix handling of XFR requests over DoH

We did not properly handle incoming XFR requests received over DoH
When a TCP-only or DoT backend was configured, and the nghttp2 provider
used.
This commits fixes the assertion failure and makes sure that XFR
requests are denied with `NOTIMP` when received over DNS over HTTPS,
including DNS over HTTP/3. It also denies them when received over
DNS over QUIC as this is not properly handled at the moment, although
it does not cause a crash.

dnsdist: Update the secpoll zone and the ChangeLog for 1.9.4

Merge pull request #14143 from rgacogne/ddist-enable-leak-sanitizer-ci

dnsdist: Enable memory leaks detection during regression tests in CI

Merge pull request #14024 from omoerbeek/auth-docs-modes-of-operation

auth docs: update primary/secondary terminology

Merge pull request #13819 from omoerbeek/rec-ta

rec: add Lua config to YAML settings

Merge pull request #14098 from PowerDNS/dependabot/github_actions/slsa-framework/slsa-github-generator-2.0.0

build(deps): bump slsa-framework/slsa-github-generator from 1.10.0 to 2.0.0

Merge pull request #14144 from romeroalx/fix-fork-runner-image-name

GH Actions: fix the repository where the runner images are pulled from

always pull runner image from powerdns for forks

build-packages: Update download-artifact to v4

Merge pull request #14125 from PowerDNS/dependabot/pip/pdns/dnsdistdist/docs/idna-3.7

build(deps): bump idna from 3.6 to 3.7 in /pdns/dnsdistdist/docs

Merge pull request #14130 from rgacogne/ddist-fix-updateio-h2

dnsdist: Fix TCP I/O timeout and callback being used for HTTP/2

dnsdist: Suppress a warning from TSAN about our signal handler

We are calling `_exit()`, which is async-signal-safe according to
POSIX.

dnsdist: Implement an "atExit" Lua callback to clean up leftovers

dnsdist: Detect memory leaks during regression tests in CI

dnsdist: Enable memory leak detection in CI during regression tests

Typo's in comments

Co-authored-by: Remi Gacogne <github@coredump.fr>

Explain two somewhat puzzling pieces of code in comments

Apply suggestions from code review

Co-authored-by: Remi Gacogne <github@coredump.fr>

Merge pull request #14118 from jap/patch-2

[trivial] improve readability of the list of affected versions in advisory-2024-02

Merge pull request #14112 from rgacogne/quiche-0.21.0

dnsdist: Update Quiche to 0.21.0

dnsdist: Simplify IncomingTCPConnectionState::updateIO()

As suggested by Otto.

Merge pull request #14139 from omoerbeek/rec-openbsd-iputils-followup

rec: followup to 14097: missed OpenBSD specfic case

Merge pull request #14131 from rgacogne/ddist-fix-sent-bytes-doh

dnsdist: Log the correct amount of bytes sent for DoH w/ nghttp2

rec: followup to 14097: missed OpenBSD specfic case

Merge pull request #14128 from rgacogne/ddist-nghttp2-ping

dnsdist: Reply to HTTP/2 PING frames immediately

Merge pull request #14097 from omoerbeek/tidy-iputils

Tidy iputils.hh and iputils.cc

remove struct so that clang-format does not insists laying out the var init over three lines.

Merge pull request #14138 from omoerbeek/rec-forw-docs

rec: fix two doc examples missing a colon

One more clang-tidy case that did not happen locally: add a cast

Formatting fixes

Extra tricky part: make_unique vs new

Tidy iputils.cc

First pass of tidy for iputils.hh

Format

rec: fix two doc examples missing a colon

fixes #14119

Merge pull request #14136 from sam-banks/master

Updated typo in DNSSEC intro documentation (ECSDA instead of ECDSA)

Updated typo in documentation (ECSDA instead of ECDSA)

dnsdist: Make `IncomingTCPConnectionState::updateIOForAsync`

dnsdist: Log the correct amount of bytes sent for DoH w/ nghttp2

dnsdist: Fix TCP I/O timeout and callback being used for HTTP/2

They were always replaced by the correct HTTP/2 ones anyway, but
it's a lot cleaner that way.

dnsdist: Reply to HTTP/2 PING frames immediately

We usually buffer a bit to avoid sending a lot of small data chunks
on the wire (or to the kernel anyway), but for `HTTP/2 PING` frames
that are not followed by anything else calling for a response, this
causes an issue as these frames are designed to measure the latency
between a client and a server, and are used by HTTP/2 proxies to
ensure that a connection can be reused.

Merge pull request #14021 from Habbie/auth-lua-join-whitespace

auth LUA: make whitespace insertion on chunk combine optional

Merge pull request #14036 from romeroalx/meson-auth-ci

GH Actions - Meson: Build auth using meson in `build-and-test-all`.

Merge pull request #14061 from romeroalx/ci-runner-image-branch

GH actions - build-and-test-all: parameterize workflow to run different docker runner versions

build(deps): bump idna from 3.6 to 3.7 in /pdns/dnsdistdist/docs

Bumps [idna](https://github.com/kjd/idna) from 3.6 to 3.7.
- [Release notes](https://github.com/kjd/idna/releases)
- [Changelog](https://github.com/kjd/idna/blob/master/HISTORY.rst)
- [Commits](https://github.com/kjd/idna/compare/v3.6...v3.7)

---
updated-dependencies:
- dependency-name: idna
  dependency-type: indirect
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #14085 from romeroalx/pip-doc-hashes

GH actions: check that only pinned pip packages are pulled when building docs

meson: enable systemd for auth-configure

simplify build-auth job

gh actions add meson build for auth

improve readability of affected versions in advisory 2024-02

dnsdist: Update Quiche to 0.21.0

Merge pull request #14078 from rgacogne/ddist-harvest-quic

dnsdist: Use the correct source IP for outgoing QUIC datagrams

Modify ZTC regression test to use YAML config

Better cross refs in docs, formatting

Make a isValidHostname() callable from Rust that calls into DNSName::is_hostname()

Tidy

Basic docs of YAML specs of original Lua config

Tweaks and handle trust anchors better

Add --config support and validation of a few fields

(re)load Lua config from either Lua or YAML

Show Lua config converted to YAML in rec_control show-yaml

Build active Lua config from data structure that can be supplied by either Lua or YAML

Convert YAML to Lua config, including full test

Use a C++ array for the well-known DS record(s)

YAML defs for all Lua config constructs, plus converting old-style to YAML

Move sortlist.?? to recursordist

Zap sortlist.?? symlinks, in preparation for move to recursordist

Tidy sortlist.??

Basic handling of YAML TAs and NTAs

Current code can convert Lua into YAML
Nothing is done yet with YAML if found

dsmap_t is actually a set, rename type and a few vars

Merge pull request #14076 from rgacogne/ddist-update-tuning-design-doc-for-doq-doh3

dnsdist: Update tuning/design documentation for DoQ and DoH3

Merge pull request #14104 from rgacogne/ddist-fix-abort-nghttp2_session_mem_recv

dnsdist: Fix a crash in incoming DoH with nghttp2

Merge pull request #14062 from franklouwers/patch-1

rec: Remove `current` from the extended error code binding descriptions

Merge pull request #14023 from omoerbeek/rec-proxy-physaddr

rec: add interface (not subject to proxy protocol substitutions) addresses in Lua DNSQuestion and corresponding FFI

Better wording in docs from @rgacogne

Co-authored-by: Remi Gacogne <github@coredump.fr>

dnsdist: Fix a crash in incoming DoH with nghttp2

This fixes an issue in the code dealing with incoming DNS over HTTPS
queries with the nghttp2 provider. In some rare cases, if the incoming
query is forwarded to the backend over TCP and the response comes back
immediately (the `read()` call done just after the `write()` call sending
the query must succeed and yield a complete response), the processing
of the response might end up calling `IncomingHTTP2Connection::readHTTPData()`
down the line, via the `nghttp2` callbacks, while we were already
inside this function. This does not actually work because
`nghttp2_session_mem_recv` is not reentrant, so the internal state of
the `nghttp2_session` object might become inconsistent and trigger
an assertion, for example:
```
nghttp2_session.c:6854: nghttp2_session_mem_recv2: Assertion `iframe->state == NGHTTP2_IB_IGN_ALL' failed.
```

This results in a call to `abort()` and very unlikely to be exploitable,
because there is no memory corruption occurring. It would also be quite
difficult for an attacker to trigger the conditions leading to this event
remotely.

Reported by Daniel Stirnimann from Switch and Stephane Bortzmeyer, many thanks to them.

Merge pull request #14102 from Habbie/2024-02-formatting

security advisory 2024-02: fix formatting

Merge pull request #14100 from Habbie/rec-cname-wc

rec: a name can be present already when building the cname chain

security advisory 2024-02: fix formatting

Merge pull request #14099 from Habbie/rec-prep-sec-2024-02

security advisory 2024-02+changelogs+secpoll

build(deps): bump slsa-framework/slsa-github-generator

Bumps [slsa-framework/slsa-github-generator](https://github.com/slsa-framework/slsa-github-generator) from 1.10.0 to 2.0.0.
- [Release notes](https://github.com/slsa-framework/slsa-github-generator/releases)
- [Changelog](https://github.com/slsa-framework/slsa-github-generator/blob/main/CHANGELOG.md)
- [Commits](https://github.com/slsa-framework/slsa-github-generator/compare/v1.10.0...v2.0.0)

---
updated-dependencies:
- dependency-name: slsa-framework/slsa-github-generator
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #14075 from romuald/backend-guide-clarification

Add clarification on backend writer guide

Merge pull request #14083 from rgacogne/fix-dnsdist-and-rec-home-dirs

dnsdist/rec: Change home directory to /var/lib/<product> on EL-based OSs

rec: Fix home directory location comment in the EL spec