Fix subnetcache statistics

- Fix tcp fastopen failure when disabled, try normal connect instead.

- Fix #533: Negative responses get cached even when setting
  cache-max-negative-ttl: 1

- Fix asynclook unit test for setup of lockchecks before log.

- Fix compile warning in libunbound for listen desetup routine.

- Fix RPZ locks. Do not unlock zones lock if requested and rpz find
  zone does not find the zone. Readlock the clientip that is found
  for ipbased triggers. Unlock the nsdname zone lock when done.
  Unlock zone and ip in rpz nsip and nsdname callback. Unlock
  authzone and localzone if clientip found in rpz worker call.

- Fix the stream wait stream_wait_count_lock and http2 buffer locks
  setup and desetup from race condition.

- Fix #536: error: RPZ: name of record (drop.spamhaus.org.rpz.local.)
  to insert into RPZ.

Changelog note for #401
- Merge #401: RPZ triggers. This add additional RPZ triggers,
  unbound supports a full set of rpz triggers, and this now
  includes nsdname, nsip and clientip triggers. Also actions
  are fully supported, and this now includes the tcp-only action.

Merge pull request #401 from NLnetLabs/rpz-triggers

RPZ triggers

Changelog entry for #531
- Fix #531: Fix: passed to proc after free.

Merge pull request #531 from Shchelk/ptpaf

Fix: passed to proc after free

Fix: passed to proc after free

Found by static analyzer svace
Static analyzer message: Pointer 'dp' is passed to a function at
iter_hints.c:401 after the referenced memory was deallocated at
iter_hints.c:174 by passing as 3rd parameter to function 'hints_insert'
at iter_hints.c:398.

on-behalf-of: @ideco-team <github@ideco.ru>

Changelog note for #529 and nicer layout.
- Fix #529: Fix: log_assert does nothing if UNBOUND_DEBUG is
  undefined.

Merge pull request #529 from Shchelk/next

Fix: log_assert does nothing if UNBOUND_DEBUG is undefined

Fix: log_assert does nothing if UNBOUND_DEBUG is undefined

Found by static analyzer svace
Static analyzer message: Integer value 'len' obtained from untrusted
source at tube.c:374 by passing as 2nd parameter to function 'read'
at tube.c:340 without checking its higher bound is used as a loop bound
at tube.c:374.

on-behalf-of: @ideco-team <github@ideco.ru>

Merge branch 'master' into rpz-triggers

- Fix sed script in ssldir split handling.

- Fix #527: not sending quad9 cert to syslog (and may be more).

- Fix that --with-ssl can use "/usr/include/openssl11" to pass the
  location of a different openssl version.

- Fix to support harden-algo-downgrade for ZONEMD dnssec checks.

Changelog note for #528:
- Merge PR #528 from fobser: Make sldns_str2wire_svcparam_buf() static.

Merge pull request #528 from fobser/svcparam_static

Make sldns_str2wire_svcparam_buf() static.

Make sldns_str2wire_svcparam_buf() static.

The function is only used in this translation unit and prevents a "no
previous prototype" warning.

- zonemd, fix order of bogus printout string manipulation.

- Fix zonemd verification of key that is not in DNS but in the zone
  and needs a chain of trust.

- Fix for #431: Squelch permission denied errors for udp connect,
  and udp send, they are visible at higher verbosity settings.

- Support using system-wide crypto policies.

- For #514: generate configure.

Changelog note for #514:
- Merge PR #514, from ziollek: Docker environment for run tests.

Merge pull request #514 from ziollek/docker_for_run_test

Docker environment for run tests

- Fix to print error from unbound-anchor for writing to the key
  file, also when not verbose.

- For #519: fix comments for doxygen.

- For #519: yacc and lex. And fix python bindings, and test program
  unbound-dnstap-socket.

Changelog note for #519 and example.conf edit
- Merge #519: Support for selective enabling tcp-upstream for
  stub/forward zones.
- For #519: note stub-tcp-upstream and forward-tcp-upstream in
  the example configuration file.

Merge pull request #519 from ziollek/tcp_upstream_option

Support for selective enabling tcp-upstream for stub/forward zones

Changelog note for #523
- Merge #523: fix: free() call more than once with the same pointer.

Merge pull request #523 from Shchelk/bugfix

fix: free() call more than once with the same pointer

Changelog note for #521
- Merge #521: Update mini_event.c.

Merge pull request #521 from liheng562653799/master

Update mini_event.c

- Add test tool readzone to .gitignore.

- And 1.13.2rc1 became the 1.13.2 with the fix for the python module
  build. The current code repository continues with version 1.13.3.

fix: free() call more than once with the same pointer

Update mini_event.c

When in heavy load, unbound opens many outside_network sockets for out going queries to delegation servers, which may result in a big fd(maxfd) value(for thread A 65500, for thread B 65501, for thread C ...).
There are situations when thread A has a max fd num 65500 where maxfd is of course 65500, thread B has max fd num 20 for now but maxfd is still 65501. Though linux kernel checks whether maxfd+1  passed by select syscall  is really the process' maxfd+1. Linux kernel can not tell maxfd+1 passed by thread B select syscall is much bigger(65501+1 or 65500+1  after trimed by kerne) than it should be (20+1).
In this situation, when kernel do_select() for thread B, much work is wasted.

- Fix #520: Unbound 1.13.2rc1 fails to build python module.

Merge branch 'master' into rpz-triggers

Add (stub|forward)-tcp-upstream options which enable using tcp transport only for specified stub/forward zones

For 1.13.2rc1.

- Tag for 1.13.2 release.

- Fix unit test zonemd_reload for use in run_vm.

- Fix libnettle zonemd unit test.

- Fix out of sourcedir run of zonemd unit tests.

reformat

Revert changes in files managed by maintainers, move docker do contrib dir

merge master

- Fix readzone compile under debug config.

- Fix missing locks in zonemd unit test.

- Fix static analysis warnings about localzone locks that are unused.

- Bump MAX_RESTART_COUNT to 11 from 8; in relation to #438. This allows
  longer CNAME chains in Unbound.

Changelog note for #415:
- Merge PR #415 from sibeream: Use /proc/sys/net/ipv4/ip_local_port_range
  to determine available outgoing ports.

Merge pull request #415 from sibeream/master

Use /proc/sys/net/ipv4/ip_local_port_range to determine available outgoing ports

- In unit test use openssl set security level to allow keys in test.

- Fix sign comparison warning on FreeBSD.

- Annotate assertion into error printout; we think it may be an
  error, but the situation looks harmless.

Changelog note for #517
- Merge PR #517 from dyunwei: #420 breaks the mesh reply list
  function that need to reuse the dns answer.

Merge pull request #517 from dyunwei/master

#420 breaks the mesh reply list function that need to reuse the dns answer.

Merge branch 'master' of github.com:NLnetLabs/unbound

- Listen to read or write events after the SSL handshake.
  Sticky events on windows would stick on read when write was needed.

#420

clear the c->buffer in the comm_point_send_reply does resolve the "can't fit qbuffer in c->buffer" issue, but it breaks the mesh reply list function that need to reuse the answer. because the c->buffer is cleared in the comm_point_send_reply, it cannot be resued again. it means that it is not inappropriate to clear c->buffer in the comm_point_send_reply.

After some investigation, i found it is appropriate to clear c->buffer before use in the http2_query_read_done.

- Fix verbose printout failure in tcp reuse unit test.

- iana portlist update.

- Move ECDSA functions to use OpenSSL 3.0.0 API.

- Move RSA and DSA to use OpenSSL 3.0.0 API.

Review fixup for keyraw pkey function use.

- Prepare for OpenSSL 3.0.0 provider API usage, move the sldns
  keyraw functions to produce EVP_PKEY results.

- For #515: Fix compilation with openssl 3.0.0 beta2, lib64 dir and
  SSL_get_peer_certificate.
- Move acx_nlnetlabs.m4 to version 41, with lib64 openssl dir check.

- Fix #515: Compilation against openssl 3.0.0 beta2 is failing to
  build unbound.

Docker environment for run tests + enhancement for ssl_handshake

- Changelog entry for #513: Stream reuse, attempt to fix #411, #439,
  #469.

Merge pull request #513 from NLnetLabs/tcp_reuse_fix

Stream reuse, attempt to fix #411, #439, #469

- Fix readzone unknown type print for memory resize.

- Fix unittcpreuse.c: properly initialise outnet.

- Remove redundant log_assert and fix error messages.

- stream reuse, do not explicitly wait for a free pending_tcp if a reuse
  could be used.

Changelog note for #512
- Merge #512: unbound.service.in: upgrade hardening to latest
  standards.

Merge pull request #512 from ArchangeGabriel/patch-1

unbound.service.in: upgrade hardening to latest standards

unbound.service.in: upgrade hardening to latest standards

Systemd gradually introduced new protection bits, let’s enable them.

- Add unittest for tcp_reuse functions.

- stream reuse, move log_assert to the correct location.

- stream reuse, clean links on structs that are unlinked from a list.

- Fix for #411, #439, #469: stream reuse, fix loop in the free
  pending_tcp list.

- Fix for #411, #439, #469: stream reuse, fix outnet deletion for all
  non-free pending_tcp.

- Fix for #411, #439, #469: stream reuse, fix LRU list when reuse is
  already in the tree.

- Fix for #411, #439, #469: stream reuse, fix linking when touching the
  tcp_reuse LRU list.

- More log_assert for stream reuse operations.

- Fix that ldns_zone_new_frm_fp_l counts the line number for an empty
  line after a comment.

Option --enable-linux-ip-local-port-range added to use system configured port range for libunbound on Linux

- Fix for older parsers for function call in serve expired get cached.

- Another fix from lint for ignored return value.

- Fix from lint for ignored return value.