Update arc4random.c

- Fix to check pthread_t size after pthread has been detected.

- Remove include that was there for debug purposes.

- Fix to log a verbose message at operational notice level if a
  thread is not responding, to stats requests. It is logged with
  thread identifiers.

- Fix to set out of file descriptor warning to operational verbosity.

- Slow down log frequency of write wait failures.

- Fix to update config tests to fix checking if nonblocking sockets
  work on OpenBSD.

- Fix for wait for udp send to stop when packet is successfully sent.

- Fix to wait for blocked write on UDP sockets, with a timeout if it
  takes too long the packet is dropped.

- Patch from Vadim Fedorenko that adds MSG_DONTWAIT to receive
  operations, so that instruction reordering does not cause mistakenly
  blocking socket operations.

- Fix to avoid process wide fcntl calls mixed with nonblocking
  operations after a blocked write.

- Fix #741: systemd socket activation fails on IPv6.

- Fix to log accept error ENFILE and EMFILE errno, but slowly, once
  per 10 seconds. Also log accept failures when no slow down is used.

- Fix #734 [FR] enable unbound-checkconf to detect more (basic)
  errors.

- Fix ratelimit inconsistency, for ip-ratelimits the value is the
  amount allowed, like for ratelimits.

Changelog note for #730
- Merge #730 from luisdallos: Fix startup failure on Windows 8.1 due
  to unsupported IPV6_USER_MTU socket option being set.

Merge pull request #730 from luisdallos/win81-unsup-sockopt-fix

Fix startup failure on Windows 8.1 due to unsupported IPV6_USER_MTU socket option being set

- Fix unittest for edns subnet change.

- Fix edns subnet so that scope 0 answers only match sourcemask 0
  queries for answers from cache if from a query with sourcemask 0.

Fix startup failure on Windows 8.1 due to unsupported IPV6_USER_MTU socket option being set

Newer mingw-w64 (starting from 8.0.1) introduces support for `IPV6_USER_MTU` socket
option [1], which is not supported on Windows 8.1 and older [2]. As there is no way
to avoid this socket option from being picked at compile time when targeting older
versions of Windows, check for `setsockopt(..., IPV6_USER_MTU, ...)` failures at
runtime in order to avoid startup failure on those versions of Windows where the
`IPV6_USER_MTU` socket option is unsupported.

[1]: mirror/mingw-w64@e30bff4
[2]: `WSAGetLastError()` returns `WSAENOPROTOOPT` (`Bad protocol option`) error code

- Fix #728: alloc_reg_obtain() core dump. Stop double
  alloc_reg_release when serviced_create fails.

- The code repo continues with 1.16.3.

- Tests for ghost domain fixes.

- Fix the novel ghost domain issues CVE-2022-30698 and CVE-2022-30699.

- Cleanup some comments and TODO text.

Changelog note for #718
- Merge #718: Introduce infra-cache-max-rtt option to config max
  retransmit timeout.

Merge pull request #718 from hunts/make_rtt_max_timeout_configurable

Introduce infra-cache-max-rtt option to config max retransmit timeout

- Update documentation for 'outbound-msg-retry:'.

Introduce infra-cache-max-rtt option to config max retransmit timeout

Added the option and let it default to 120 seconds so that it won't change
current behavior.

Related-to #717

- iana portlist update.

- Merge PR 714: Avoid treat normal hosts as unresponsive servers.
  And fixup the lock code.

Merge pull request #714 from hunts/rtt-of-expired-host

Avoid treat normal hosts as unresponsive servers

Avoid treat normal hosts as unresponsive servers

This is a fix for issue #713

When infra-keep-probing is on, all hosts with expired entries were treated as
unresponsive servers and thus causing problems (see #713).

This commit change that, so that normal hosts with expired entries are treated
as unknown servers.

- For windows crosscompile, fix setting the IPV6_MTU socket option
  equivalent (IPV6_USER_MTU); allows cross compiling with latest
  cross-compiler versions.

- Fix dname count in sldns parse type descriptor for SVCB and HTTPS.

- Fix verbose EDE error printout.

Merge pull request #711 from NLnetLabs/add-security.md

 add SECURITY.md, based on krill

- This became 1.16.1 on 11 July 2022.
  The code repo continues with version 1.16.2 under development.

 add SECURITY.md, based on krill

- Tag for 1.16.1rc1 release.

Merge branch 'crrodriguez-IP_BIND_ADDRESS_NO_PORT'

- For #668: relocate and make code more portable.

Merge branch 'IP_BIND_ADDRESS_NO_PORT' of https://github.com/crrodriguez/unbound into crrodriguez-IP_BIND_ADDRESS_NO_PORT

- Fix bug introduced in 'improve val_sigcrypt.c::algo_needs_missing for
  one loop pass'.

- Reintroduce documentation and more EDE support for
  val_sigcrypt.c::dnskeyset_verify_rrset_sig.

- Improve val_sigcrypt.c::algo_needs_missing for one loop pass.

- Fix for correct openssl error when adding windows CA certificates to
  the openssl trust store.

For #660: formatting, less verbose logging, add EDE information.

Changelog entry for #660
- Merge PR #660 from Petr Menšík: Sha1 runtime insecure.

Merge pull request #660 from InfrastructureServices/sha1-runtime-insecure

Sha1 runtime insecure

- Add missing changelog entries from PR #706.

Changelog entry for #671:
- Merge PR #671 from Petr Menšík: Disable ED25519 and ED448 in FIPS
  mode on openssl3.

Merge branch 'InfrastructureServices-fips-mode-algo-ed25519'

Merge branch 'master' into InfrastructureServices-fips-mode-algo-ed25519

Merge pull request #706 from NLnetLabs/nxns-fallback

NXNS fallback

- Improved logging for NXNS fallback.

- Allow fallback to the parent side when MAX_TARGET_NX is reached.
  This will also allow MAX_TARGET_NX more NXDOMAINs.

- Fix to not count cached NXDOMAIN for MAX_TARGET_NX.

Remove debug output from windows compile workflow.

- Fix compile warning for windows compile.

- Fix detection of libz on windows compile with static option.

Debug output for windows compile workflow.

- Fix #704: [FR] Statistics counter for number of outgoing UDP queries
  sent; introduces 'num.query.udpout' to the 'unbound-control stats'
  command.

- Add debug option to the mini_tdir.sh test code.

Merge branch 'master' of github.com:NLnetLabs/unbound

- iana portlist update.

- Formatting.

- Fix for cached 0 TTL records to not trigger prefetching when
  serve-expired-client-timeout is set.

- Fix test program dohclient close to use portability routine.

- Show the output of the exact .rpl run that failed with 'make test'.

Update changelog with #705 change

clarify addition of verbosity level mentioned in #705

Fix use after free issue with edns options (https://github.com/NLnetLabs/unbound/issues/663)

Merge branch 'zone-parsers-blank-line-issue'

Change log entry for lines with blanks issue

- Remove unused LDNS function check for GOST Engine unloading.

- Note in the unbound.conf text that NOTIFY is allowed from the url:
  addresses for auth and rpz zones.

Changelog entry for #688
- Merge PR #688: Rpz url notify issue.

Merge pull request #688 from NLnetLabs/rpz-url-notify-issue

Rpz url notify issue

- Add testcase for allowing NOTIFY on URL addresses.

Test loading a zone with blank lines over https

Avoid network traffic during test, a bit of cleanup

Fix issue with lines that only consist of blanks with optional comment

Test loading a cached zone that has lines consisting of blanks

- Fix for edns client subnet to respect not looking in its cache when
  instructed to do so (e.g., prefetch).

- makedist.sh picks up 32bit libssp-0.dll when 32bit compile.

Continue with 1.16.1 under development.

Add url 'master' to allow notify list

allow-notify doesn't work for url on rpz zones (https://github.com/NLnetLabs/unbound/issues/679)

- Version is set to 1.16.0 for release. Release tag 1.16.0rc1.

- Fix #684: [FTBS] configure script error with libmnl on openSUSE 15.3 (and possibly other distributions)

- Fix some lint type warnings.

- Fix ede test to not use default pidfile, and use local interface.

- Fix to silence test for ede error output to the console from the
  test setup script.

Merge branch 'fips-mode-algo-ed25519' of https://github.com/InfrastructureServices/unbound into InfrastructureServices-fips-mode-algo-ed25519

- Fix typos in config_set_option for the 'num-threads' and
  'ede-serve-expired' options.

- Fix #678: [FR] modify behaviour of unbound-control rpz_enable zone,
  by updating unbound-control's documentation.

- For #677: Added tls-system-cert to config parser and documentation.
- Changelog note for #677.

Merge pull request #677 from InfrastructureServices/use-system-cas

Allow using system certificates not only on Windows

Allow using system certificates not only on Windows

OpenSSL has a way to load default file. That file might contain usable
certificates to verify common connections. Allow similar trust as on
windows and leave it on openssl package to provide sane defaults.

Also provide use-system-cert alias, because it is not windows specific
anymore.