Remove spurious backticks.

Closes: #17111
Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #17115 from pieterlexis/dnsdist-yw-202-padding

dnsdist: Actually pad responses

Merge pull request #17119 from pieterlexis/update-py-deps

chore: Update all python dependencies

chore: Update all python dependencies

Merge pull request #17117 from ronhombre/fix/cpq-use-after-move-doh3

Hardened DoH3 internal error handling for cpq

chore(dnsdist): Add unit tests for addEDNSPadding

Merge pull request #17116 from pieterlexis/dnsdist-remove-debug

chore(dnsdist): clean up troubleshooting code

Hardened DoH3 internal error handling for cpq

Added a check for cpq before releasing DU to handle exceptional cases.

Signed-off-by: Ron Lauren Hombre <118486316+ronhombre@users.noreply.github.com>

fix(dnsdist): allow adding empty options in addOrReplaceEDNSOption

fix(dnsdist): actually pad responses when requested

feat(dnsdist): test self-answered, padded DOH

fix(dnsdist): do not let dnspython pad responses

chore(dnsdist): clean up troubleshooting code

Merge pull request #17114 from ronhombre/fix/cpq-use-after-move

Hardened DoQ internal error handling for cpq

Merge pull request #17110 from ronhombre/fix/give-tcp-thread-to-doq-and-doh3

Give TCP thread as default for definition USE_SINGLE_ACCEPTOR_THREAD

Hardened DoQ internal error handling for cpq

Added a check for cpq before releasing DU to handle exceptional cases.

Signed-off-by: Ron Lauren Hombre <118486316+ronhombre@users.noreply.github.com>

Merge branch 'PowerDNS:master' into fix/give-tcp-thread-to-doq-and-doh3

Merge pull request #17112 from jsoref/check-spelling-0.0.26

Upgrade check-spelling to v0.0.26

Simplify TCP client thread initialization

Removed conditional TCP client thread creation and make them the default for definition USE_SINGLE_ACCEPTOR_THREAD

Signed-off-by: Ron Lauren Hombre <118486316+ronhombre@users.noreply.github.com>

Merge pull request #17070 from rgacogne/ddist-ywh-102

dnsdist: Fix use-after-free in EDNS options handling

Upgrade check-spelling to v0.0.26

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

spelling: whether or not

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

spelling: see

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

spelling: please

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

spelling: lowercase

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

spelling: configuration:

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

spelling: better or worse

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

spelling: be

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

spelling: auth-zone:

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

spelling: also

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

spelling: a

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

Use internet archive link

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

Give TCP thread for DoQ and DoH3

On OpenWRT, the dnsdist implementation isn't normally built with DoQ and DoH3 due to the lack of quiche support. However, when it is enabled and queried through QUIC, dnsdist sees that the connection we have is too big and goes out of its way to try to use TCP to make that request upstream when using PROXYv2.

This fixes that by checking if DoQ or DoH3 are enabled so that in certain configurations with only DoQ or DoH3 enabled, a TCP thread is given to the internal client.

Signed-off-by: Ron Lauren Hombre <118486316+ronhombre@users.noreply.github.com>

Merge pull request #16970 from omoerbeek/rec-rpz-vs-cache

rec: RPZ add auto cache flush of packet cache feature on RPZ updates

Merge pull request #17062 from pieterlexis/dnsdist-docs-rm-old-changed

docs(dnsdist): Remove all version changes pre-1.9

docs(dnsdist): Remove all version changes pre-1.9

Zap debug line

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #17102 from rgacogne/ddist-ywh-172

dnsdist: Do not oversize the received buffer with `recvmmsg`

Merge pull request #17017 from rgacogne/ddist-remotelogaction-export-tags-prefixes

dnsdist: Add more options to select which tags to export over ProtoBuf

Merge pull request #17105 from rgacogne/ci-disable-tsan-arm

dnsdist: Do not run our tests under TSAN on ARM

Correct default value, from @pieterlexis

Co-authored-by: Pieter Lexis <pieter@plexis.eu>
Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #17104 from rgacogne/curl-fail

builder-support: Call `curl` with `--fail` in our scripts

dnsdist: Do not run our tests under TSAN on ARM

TSAN-enabled builds crash for no indentifiable reason on ARM
so for now let's disable them.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #17103 from rgacogne/ddist-quiche-0.28.0

dnsdist: Update our version of Quiche to 0.28.0

dnsdist: Increment our metrics in a consistent order to appease Miod!

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

builder-support: Call `curl` with `--fail` in our scripts

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #17069 from rgacogne/ddist-ywh-94

dnsdist: Prevent unbounded memory allocation for DoQ/DoH3

dnsdist: Reformat regression tests with ruff

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #17101 from rgacogne/rec-aggressive-nsec-transition

rec: Better handling of RFC5155 transitions in the aggressive NSEC cache

dnsdist: Update our version of Quiche to 0.28.0

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Do not oversize the received buffer with `recvmmsg`

Passing `MSG_TRUNC` to `recvmmsg` causes the Linux kernel to report
the real size of the datagram even if it was longer than the passed
buffer, which is not what we want here as it would be wasteful to
resize our internal buffer to this size.

This was reported by komaku in #YWH-PGM6095-172, many thanks!.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

rec: Better aggressive NSEC cache type to string handling

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

rec: Better handling of RFC5155 transitions in the aggressive NSEC cache

This commit ensures that we do not cache NSEC and NSEC3 records for the
same zone at the same time, which could lead to surprises during
NSEC -> NSEC3 or NSEC3 -> NSEC transitions as described in RFC5155 sections
10.4 and 10.5.
The existing code was correctly handling the NSEC -> NSEC3 transition
by clearing any existing NSEC records when a NSEC3 record was received
for a zone, but this behaviour could have been problematic for NSEC3
to NSEC transitions.
The new behaviour is to refuse to insert records during the transition,
keeping the existing entries until they expire.

This was reported by:
- Qifan Zhang (Palo Alto Networks) qzhang@paloaltonetworks.com
- Zilin Shen (Purdue University) shen624@purdue.edu
- Imtiaz Karim (The University of Texas at Dallas) imtiaz.karim@utdallas.edu
- Elisa Bertino (Purdue University) bertino@purdue.edu
- Daiping Liu (Palo Alto Networks) dpliu@paloaltonetworks.com
- Zhou Li (University of California, Irvine) zhou.li@uci.edu

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Reformat regression tests with ruff

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Add "too large" and "too many headers" regression tests

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Use a smart pointer for DoH3 events

I don't see any issue right away but let's make sure we don't leak.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Cap the maximum amount of HTTP headers on incoming queries

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Prevent unbounded memory allocation for DoQ queries

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Prevent unbounded memory allocation for DoH3 queries

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Fix use-after-free in EDNS options handling

I think a better fix is going to be to get rid of the caching,
but the patch would be significantly bigger so let's go with this
for now.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #17077 from rgacogne/ywh-137

dnsparser: Harden the DNS parser against malformed records

Merge pull request #17076 from rgacogne/handle-malformed-pointers-in-dnswriter

Handle malformed pointers in dnswriter

Merge pull request #17035 from miodvallat/umentation

auth: minor doc tweaks

Merge pull request #17079 from omoerbeek/doc-plexus

docs: Add Plexus to front page

Merge pull request #17080 from rgacogne/ddist-fix-doh-regression-tests-formatting-master

dnsdist: Fix the formatting of `test_DOH.py`

dnsdist: Fix the formatting of `test_DOH.py`

I made the mistake of merging one PR where the formatting was not right,
and now it makes a lot of PRs that are not touching this code unhappy.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #17071 from rgacogne/ywh-115

DNSWriter: Prevent overflow when generating (too) large DNS packets

dnsdist: Reformat regression tests with ruff

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Reformat regression tests with ruff

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Add Plexus to front page

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #17065 from rgacogne/ddist-fix-js

dnsdist: Fix HTML injection in the Web dashboard

auth: Implement `consumeRemaining` in DNSParser, DNSWriter, RecordTextReader and RecordTextWriter

This is needed to deal with a bug (#17000) in the authoritative code that at
some point created non-empty ENT records in our databases.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Update unit tests for parsing issues now reported earlier in the process

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

auth: Fix invalid TKEY payload in our tests

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Warn early when parsing a too large DNS record

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Implement a more useful version of `PacketReader::getRemaining()`

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsparser: Harden the DNS parser against malformed records

There is no security issue: we are not reading outside of the packet
or bypassing any checks. We might however accept packets that are not
valid and that we could discard earlier in the process.

Reported by nrabrenovic in YWH-PGM6095-137.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

DNSWriter: Clean up the code, no functional changes

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

DNSWriter: Handle malformed pointers in the current content

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #17039 from rgacogne/ddist-bench-packet-cache

dnsdist: Add micro-benchmarks for the packet cache

Merge pull request #17050 from esensar/feature/edns-padding

dnsdist: add EDNS padding support

Merge pull request #17068 from rgacogne/ddist-YWH-PGM6095-87

dnsdist: Fix DoH ACL bypass when early ACL check is disabled

Merge pull request #17067 from rgacogne/ddist-YWH-PGM6095-86

dnsdist: Fix out-of-bounds read when parsing DNS packets via Lua

Merge pull request #17066 from rgacogne/ddist-disable-cross-origin-requests-by-default

dnsdist: Disable cross-origin HTTP requests by default

Merge pull request #17072 from rgacogne/dnsdit-1.9.12-2.0.3-changelog-secpoll

dnsdist: Update ChangeLog and security polling for 1.9.12 and 2.0.3

dnsdist: Set PR # in the ChangeLog

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Add researcher names to the spell-checker allow-list

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Add security advisory 2026-02

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #17061 from pieterlexis/update-python-pkgs

chore: Update all python packages

dnsdist: ChangeLog and secpoll update for 1.9.12, 2.0.3

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Drop the PR # from the available features map

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Add more examples on how to export tags to protobuf

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

chore: Update all python packages

dnsdist: add EDNS padding support

Adds support for EDNS padding from [RFC 7830],
implemented per [RFC 8467], specifically [Block-Length Padding Strategy],
which is used in recursor too.

Support is added for DoT, DoH, DoH3 and DoQ frontends.

[RFC 7830]: https://datatracker.ietf.org/doc/html/rfc7830
[RFC 8467]: https://datatracker.ietf.org/doc/html/rfc8467
[Block-Length Padding Strategy]: https://datatracker.ietf.org/doc/html/rfc8467#section-4.1

Closes: #10018
Signed-off-by: Ensar Sarajčić <dev@ensarsarajcic.com>

Merge pull request #17059 from pieterlexis/docs-lua-anchor

docs: correct anchors to Lua funcs in search

fix: some pythopn requirement files

Merge pull request #17037 from esensar/feature/doh3-response-maps

dnsdist: add support for response maps for DoH3

docs: correct anchors to Lua funcs in search

Closes: #17028

Merge pull request #17048 from miodvallat/tawny_or_ruby

Broader exception catching around stoi usage

Catch std::logic_error around {checked_,}sto*, not std::out_of_range.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>