dnsdist: Fix the outgoing DoT YAML example

As reported by Eddict (thanks!).

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16375 from omoerbeek/dnsdist-http1-date-header

dnsdist: Include a Date: response header for rejected HTTP1 requests

Merge pull request #16255 from rgacogne/openssl-3.6-leak-ocsp

dnsdist: Fix a memory leak with OCSP and OpenSSL 3.6.0

Merge pull request #16392 from omoerbeek/mangle-rust-version

Make version number in rust lib confirm to Rust specifics

Merge pull request #16385 from Habbie/auth-5.0.1-docs

auth 5.0.1 secpoll and changelog

Better words in comment

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

auth 5.0.1 secpoll and changelog

Co-authored-by: Miod Vallat <miod.vallat@powerdns.com>
Signed-off-by: Peter van Dijk <peter.van.dijk@powerdns.com>

Merge pull request #16388 from romeroalx/fix-upload-builds-pulp

gh actions build-packages: fix pattern for the download-artifacts action and publication issues

Make version number in rust lib confirm to Rust specifics

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

gh actions build-packages: avoid duplicates download-artifacts action. Fix publications

Include a Date: response header for rejected HTTP1 requests

This allows OpenBSD ntpd time constraint retrieval to work properly
with nghttp2 incoming DoH.

Note that requests having no alpn data do not appear in any stats.
Should that be changed?

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16374 from miodvallat/dumansw

auth dumresp: fix fd leak

Be sure to not leak a socket if tcpConnectionHandler() throws.

Fixes: #16365
Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16367 from pieterlexis/dnsdist-aarch-ifdef

fix(dnsdist): Fix builds on aarch64

fix(dnsdist): Fix builds on aarch64

Merge pull request #16352 from miodvallat/cecity

api: relax zone name check in view removal

On second thought, relax the zone check for the view add operation too.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Fix buglet which only caused a warning during tests.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Relax zone checks when removing a zone from a view.

It's ok for the zone to no longer exist at this point.

Fixes: #16351
Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16342 from omoerbeek/rec-prep-sec-2025-06

rec: Prep for Security Release 2025-06

Merge pull request #16338 from omoerbeek/rec-delegation-accept

rec: tighten delegation accept

Merge pull request #16333 from Habbie/dnsdist-reg-lua-function-nil

regression-tests.dnsdist: detect function absence and report it better

Merge pull request #16321 from pieterlexis/dnsdist-ipcrypt2-aarch64

dnsdist: fix building ipcrypt2 on aarch64

Tidy

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Prep for Security Release 2025-06

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

More strict validation of the relation between qname, rname and authname for NS records

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Don't cache non-auth rrsets if a Bogus rrset was found in the answer

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Check to see if authoritative NS and/or address records are usable

In the typical case we deal with non-authoritative records here, but
we *might* have them in cache authoritatively.

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

rec: be more strict accepting delegations

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16294 from jsoref/fix-workflow-errors

Fix workflow errors

Merge pull request #16337 from zeha/rmgetline

Drop Socket::getline

Merge pull request #16306 from miodvallat/bacf

auth: attempt at technical debt reduction in RFC2136 code

Merge pull request #16287 from DeyanSG/cache_cleaning_race_fix

authoritative: Prevent a potential race condition in cache cleaning

Merge pull request #16293 from miodvallat/ujson

ext/json: sync with upstream

Merge pull request #16334 from Habbie/top-of-the-pops

luawrapper: correct lua_pop argument

Drop Socket::getline

Signed-off-by: Chris Hofstaedtler <chris.hofstaedtler@deduktiva.com>

luawrapper: correct lua_pop argument

a negative argument to _pop has defined behaviour but never
does what the user expects.

Note that none of this matters as Lua will adjust the stack to
the 1 top item, which is the pushed boolean, after `return 1`

but I get confused every time I read the negative version

Signed-off-by: Peter van Dijk <peter.van.dijk@powerdns.com>

regression-tests.dnsdist: detect function absence and report it better

Merge pull request #16307 from omoerbeek/print-features

rec: explicit disabling/enabling of tls-gnutls for full and least configs and packages

chore(dnsdist): disable ipcrypt2 in minimal builds

feat(dnsdist): Make IPCrypt2 optional

fix(dnsdist): Detect compiler support for ipcrypt on aarch64

The `uint64x2_t` type is not supported for several functions in older
versions of the `arm_neon.h` header (e.g. GCC 13, 14).

Merge pull request #16323 from romeroalx/add-npm-swagger-actions

gh actions: add npm package for swagger test

gh actions: add npm package for swagger test

Merge pull request #16284 from rgacogne/ddist-add-test-for-suffix-match-from-yaml

dnsdist: Add a regression test for suffix-match dynamic block from YAML

dnsdist: Fix typo spotted by Miod!

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Also enabled tls-openssl in debian rules

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

dnsdist: Fix comment as suggested by Miod

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16259 from omoerbeek/auth-rec-lua-meson

auth and rec: Allow selecting a specific version of Lua with meson

Also handle tls-libssl explicitly, as noted by @zeha

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16308 from omoerbeek/coverity-20251020

rec: Fix a few Coverity found issues, all low severity move optimizations

Merge pull request #16071 from karelbilek/kb/connectx_fastopen

dnsdist: add support for TCP Fast Open for downstream connections on macOS

Merge pull request #16292 from rgacogne/ddist-fix-query-rules-tag-from-dynamic-block

dnsdist: Fix query rules bypass after tagging from a dynblock

Merge pull request #16214 from rgacogne/ddist-ffi-alternate-name

dnsdist: Refactor the FFI "alternate name" interface

Merge pull request #16181 from rgacogne/ci-add-daily-rust-audit

Add a daily workflow to run `cargo audit` against our Rust deps

rec: Fix a few Coverity found issues, all low severity move optimizations

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16298 from Habbie/rec-el-gnutls

recursor el-* build: depend on gnutls

Merge pull request #16297 from Habbie/podman-rec-rust-copy

rec builder: don't try to copy rust files that are not there

Copyright'r'us

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

More Clang-Tidyze™

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Handle NSEC3PARAM updates earlier to simplify logic.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Rework the RFC2136 for readability.

Features:
- split performUpdate in smaller parts.
- define and carry a "context" struct rather than MAXINT in-out arguments being
  passed by reference.

Apply a round of Clang-Tidyze™

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16288 from rgacogne/rec-cache-cleaning-order

rec: Prevent a potential race condition in cache cleaning

Merge pull request #16190 from omoerbeek/rec-more-ottracing

rec: OT tracing: define more Spans with actual duration and add more attributes

rec: explicit disabling/enabling of tls-gnutls for full and least configs and packages

Includes more complete --version feature printing

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

authoritative: Prevent a potential race condition in cache cleaning

Clean query cache before cleaning packet cache. Otherwise the following
situation is possible:

* thread A cleans packet cache
* thread B answers a question for the same name that is being cleaned by A
* since there is no packet cache it populates a packet cache entry from the
  query cache (which has not yet been cleaned by thread A
* thread A cleans query cache
* the server will return the old packet cache entry until its TTL expires or
  cache is cleaned again

Switching which cache is cleaned first fixes this race condition.

Signed-off-by: Deyan Doychev <deyan@siteground.com>

Appease clang-tidy.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

recursor el-* build: depend on gnutls

Signed-off-by: Peter van Dijk <peter.van.dijk@powerdns.com>

rec builder: don't try to copy rust files that are not there

Signed-off-by: Peter van Dijk <peter.van.dijk@powerdns.com>

Pick a single branch for workflows that should not run

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

Properly declare empty permissions

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

Bring some bugfixes from upstream (dropbox/json11).

- change Json map/vector conversions to invoke begin() directly instead of
  using key_type/value_type/mapped_type, to prevent false positives with
  std::optional, which has a value_type member type, but is not a container
  (ec4e45219af1d7cde3d58b49ed762376fccf1ace)

- make has_shape() return true for NUL type only if element actually exists
  (e2e3a11e99672b018e0e0657867e6a3439e180cf)

- improve handling of errors in comments
  (3bafee93e6d587d5bc6ef362c3e4457688e0ed5b)

- make operator== and operator< faster by checking for node identity
  (dabb88e83ebd6d5ef765864ec6d77bb4451c115e,
   42e6e71abb460e06c83a8f17c02e9bdf7959d2e7)

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

dnsdist: Fix query rules bypass after tagging from a dynblock

In 2.0.0 we introduced the ability to set a tag when a dynamic
block matches, making it possible to combine dynamic blocks with
existing rules. Unfortunately the implementation turned out to
bypass query rules after setting a tag, so the mechanism could
only be used with the remaining rules chains (cache hit, cache-miss,
cache inserted, self-answered and regular response rules).
This commit fixes that to ensure that we can use tags with query
rules as well.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16291 from pieterlexis/dnsdist-ot-tcp

dnsdist: Fix delayed OT sending for TCP queries

Merge pull request #16289 from pieterlexis/fix-OT-kind

Fix OpenTelemetry Trace names for Span Kinds

Merge pull request #16290 from pieterlexis/dnsdist-ot-improve-parenting

fix(dnsdist): Improve OT parenting

tests(dnsdist): Add TCP query OT tests

fix(dnsdist): Add `delay` option to `RemoteLogResponseAction`

This matches the behaviour of the YAML config.

tests(dnsdist): Add OT Trace delayed PB test

feat(dnsdist): Also send delayed protobuf for TCP queries

This commit makes some changes to how delayed messages are sent. We now
store the raw, serialized DNSMessage protobuf data in the id-state
object when a send delay is needed.

When the delayed protobuf has to be sent, we generate the OpenTelemetry
Trace data and append it to the message to be sent.

feat(dnsdist): Add OT trace span for TCP queries

fix(dnsdist): Improve OT parenting

fix(OT): correctly name the SpanKinds

fix(dnsdist): Set SpanKind::Server for every span

Merge pull request #16285 from rgacogne/ddist-rings-dnsname-lock

dnsdist: Make inserting to the in-memory rings a bit faster

Merge pull request #16230 from Habbie/double_fault

luawrapper: don't segfault on failure in traceback handler

rec: Prevent a potential race condition in cache cleaning

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Make inserting to the in-memory rings a bit faster

This commit moves the allocation and copy of the DNS name before
taking the lock, reducing contention. In completely unrealistic
benchmarks this makes the insertion ~10% faster.
Ideally I would rather move the existing `DNSName` instead of allocating
a new one, as we are usually done with it by the point we insert
into the rings, but this involves a lot of changes so let's start
with this.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Add a regression test for suffix-match dynamic block from YAML

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

libssl: It is now likely that the OCSP leak will be fixed in OpenSSL 3.6.1

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

libssl: Rename the `copy` variable which might not always be a copy

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16281 from rgacogne/ddist-fix-build-protobuf

dnsdist: Fix build error when only protobuf is enabled

dnsdist: Fix build error when only protobuf is enabled

The build fails with:
```
../dnsdist-protobuf.cc: In member function ‘void DNSDistProtoBufMessage::serialize(std::string&) const’:
../dnsdist-protobuf.cc:205:7: error: ‘vinfolog’ was not declared in this scope
  205 |       vinfolog("Error while parsing the RRs from a response packet to add them to the protobuf message: %s", exp.what());
      |       ^~~~~~~~
```
because of a missing header.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16265 from rgacogne/warn-release-workflows

Warn about workflows that needs to be backported to release branches

Merge pull request #16252 from miodvallat/4910

auth-4.9.10 secpoll and changelog

Warn about workflows that needs to be backported to release branches

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Add allow non-default argument name

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16182 from pieterlexis/dnsdist-ot-tracing

dnsdist: Add OpenTelemetry Tracing support

Merge pull request #16262 from pieterlexis/auth-nsec3-salt-bcp

feat(pdnsutil): Warn when NSEC3 iterations or salt are non-BCP