Merge pull request #17035 from miodvallat/umentation

auth: minor doc tweaks

Merge pull request #17079 from omoerbeek/doc-plexus

docs: Add Plexus to front page

Merge pull request #17080 from rgacogne/ddist-fix-doh-regression-tests-formatting-master

dnsdist: Fix the formatting of `test_DOH.py`

dnsdist: Fix the formatting of `test_DOH.py`

I made the mistake of merging one PR where the formatting was not right,
and now it makes a lot of PRs that are not touching this code unhappy.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #17071 from rgacogne/ywh-115

DNSWriter: Prevent overflow when generating (too) large DNS packets

dnsdist: Reformat regression tests with ruff

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Reformat regression tests with ruff

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Add Plexus to front page

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #17065 from rgacogne/ddist-fix-js

dnsdist: Fix HTML injection in the Web dashboard

auth: Implement `consumeRemaining` in DNSParser, DNSWriter, RecordTextReader and RecordTextWriter

This is needed to deal with a bug (#17000) in the authoritative code that at
some point created non-empty ENT records in our databases.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Update unit tests for parsing issues now reported earlier in the process

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

auth: Fix invalid TKEY payload in our tests

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Warn early when parsing a too large DNS record

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Implement a more useful version of `PacketReader::getRemaining()`

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsparser: Harden the DNS parser against malformed records

There is no security issue: we are not reading outside of the packet
or bypassing any checks. We might however accept packets that are not
valid and that we could discard earlier in the process.

Reported by nrabrenovic in YWH-PGM6095-137.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

DNSWriter: Clean up the code, no functional changes

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

DNSWriter: Handle malformed pointers in the current content

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #17039 from rgacogne/ddist-bench-packet-cache

dnsdist: Add micro-benchmarks for the packet cache

Merge pull request #17050 from esensar/feature/edns-padding

dnsdist: add EDNS padding support

Merge pull request #17068 from rgacogne/ddist-YWH-PGM6095-87

dnsdist: Fix DoH ACL bypass when early ACL check is disabled

Merge pull request #17067 from rgacogne/ddist-YWH-PGM6095-86

dnsdist: Fix out-of-bounds read when parsing DNS packets via Lua

Merge pull request #17066 from rgacogne/ddist-disable-cross-origin-requests-by-default

dnsdist: Disable cross-origin HTTP requests by default

Merge pull request #17072 from rgacogne/dnsdit-1.9.12-2.0.3-changelog-secpoll

dnsdist: Update ChangeLog and security polling for 1.9.12 and 2.0.3

dnsdist: Set PR # in the ChangeLog

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Add researcher names to the spell-checker allow-list

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Add security advisory 2026-02

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #17061 from pieterlexis/update-python-pkgs

chore: Update all python packages

dnsdist: ChangeLog and secpoll update for 1.9.12, 2.0.3

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Drop the PR # from the available features map

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Add more examples on how to export tags to protobuf

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

chore: Update all python packages

dnsdist: add EDNS padding support

Adds support for EDNS padding from [RFC 7830],
implemented per [RFC 8467], specifically [Block-Length Padding Strategy],
which is used in recursor too.

Support is added for DoT, DoH, DoH3 and DoQ frontends.

[RFC 7830]: https://datatracker.ietf.org/doc/html/rfc7830
[RFC 8467]: https://datatracker.ietf.org/doc/html/rfc8467
[Block-Length Padding Strategy]: https://datatracker.ietf.org/doc/html/rfc8467#section-4.1

Closes: #10018
Signed-off-by: Ensar Sarajčić <dev@ensarsarajcic.com>

Merge pull request #17059 from pieterlexis/docs-lua-anchor

docs: correct anchors to Lua funcs in search

fix: some pythopn requirement files

Merge pull request #17037 from esensar/feature/doh3-response-maps

dnsdist: add support for response maps for DoH3

docs: correct anchors to Lua funcs in search

Closes: #17028

Use constant-time string comparison for pdns_control password.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

dnsdist: Move the existing DNSName into the response rings

Rather than creating a new one. This saves an allocation plus copy
when the name is too long to fit in the internal "short string
optimization" buffer.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #17048 from miodvallat/tawny_or_ruby

Broader exception catching around stoi usage

Catch std::logic_error around {checked_,}sto*, not std::out_of_range.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

dnsdist: Use `catch2` instead of `libcatch2-dev` since Ubuntu is laggind behind

This might become a catch22.

dnsdist: Build benchmark targets in CI

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Prepare the threads vector outside of the bench

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Add micro-benchmarks for the packet cache

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: add basic regression tests for DoH3 responses map

Signed-off-by: Ensar Sarajčić <dev@ensarsarajcic.com>

dnsdist: fix `dnsdist-doh-common` import in `doh3.hh`

Signed-off-by: Ensar Sarajčić <dev@ensarsarajcic.com>

dnsdist: use `handleImmediateResponse` for custom responses

Signed-off-by: Ensar Sarajčić <dev@ensarsarajcic.com>

Merge pull request #17038 from rgacogne/ddist-fix-micro-benchs

dnsdist: Fix micro-benchmarks compilation

dnsdist: Fix micro-benchmarks compilation

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: add docs for `DOH3Frontend:setResponsesMap`

Signed-off-by: Ensar Sarajčić <dev@ensarsarajcic.com>

dnsdist: add support for response maps for DoH3

Closes: #16202
Signed-off-by: Ensar Sarajčić <dev@ensarsarajcic.com>

Correctly generate the json schema file for auth.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Fix other reference name.

Co-authored-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>
Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #17034 from omoerbeek/rec-man-pages-optional

rec: add meson option to not build man pages

Merge pull request #16734 from rgacogne/auth-meson-20260116

auth: Fix a bunch of issues when building with `meson`

Merge pull request #17033 from omoerbeek/rec-docs-followcname

rec docs: describe followCNAMERecords better

Fix reference name.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

rec: add meson option to not build man pages

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #17029 from pieterlexis/dnsdist-ot-rm-assert

fix(dnsdist): don't assert on OT SpanID mismatch

Merge pull request #17031 from pieterlexis/docs-thicken-tab-text

docs: make the tab-bar easier to read

rec docs: describe followCNAMERecords better

While working on this, I noted it is underspecified *which* CNAME
record is followed, but that is for some other time.

Fixes #17030

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

docs(rec): remove unused css file

docs: Use symlinks in the repo for static content

docs: brighten tab text and bold active tab

fix(dnsdist): don't assert on OT SpanID mismatch

Spans from the backend receive threads *could* be opened before the
ones from the frontend receive threads are closed. This commit no longer
asserts but cleans up nicely.

It also adds an `abort` when sanitizers are enabled to catch this issue
when it happens inside CI.

dnsdist: Fix one remaining typo

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Implement `pdns_features` to detect available features from `Lua`

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Appease ruff

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Apply Miod's suggestions

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Speed up Protobuf regression tests

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Add regression tests for RemoteLog tag prefixes

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Add options to select which tags to export over ProtoBuf

This PR implements:
- ``exportTagsKeyOnly`` taking a boolean indicating whether only a tag's key should be exported
- ``exportTagsPrefixes`` taking a list of prefixes
- ``exportTagsStripPrefixes`` taking a boolean indicating whether a matching prefix should be stripped before being exported

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #17000 from miodvallat/error_not_tolerated

auth: correctly delete ENT records from the API

Merge pull request #17025 from PowerDNS/dependabot/pip/pdns/dnsdistdist/docs/cryptography-46.0.5

build(deps): bump cryptography from 46.0.4 to 46.0.5 in /pdns/dnsdistdist/docs

build(deps): bump cryptography in /pdns/dnsdistdist/docs

Bumps [cryptography](https://github.com/pyca/cryptography) from 46.0.4 to 46.0.5.
- [Changelog](https://github.com/pyca/cryptography/blob/main/CHANGELOG.rst)
- [Commits](https://github.com/pyca/cryptography/compare/46.0.4...46.0.5)

---
updated-dependencies:
- dependency-name: cryptography
  dependency-version: 46.0.5
  dependency-type: indirect
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #16783 from pieterlexis/dnsdist-docs-modernize

Modernize documentation

Merge pull request #17024 from rgacogne/ddist-coverity-20260323

dnsdist: Fix a performance warning from Coverity

dnsdist: Fix a performance warning from Coverity

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

chore: format generate-jsonschema.py

docs(auth): adjust the OpenAPI spec

Mostly tightening some things down, suggested by @commonism.

docs(auth): correct the req-body for setNetwork and addToView

Closes: #16941

docs(auth): drop  for OpenAPI definition

docs(auth): s/False/false in the OpenAPI file

docs(auth): Add redoc as HTTP API spec explorer

docs: harmonize settings and css

docs(auth): update sphinxcontrib-openapi and squelch HTTP rendering warning

docs(auth): Add ID fields to objects (required for jsonschema)

docs(auth): Import the OpenAPI definition from #12983

docs(auth): Use refs instead of yaml anchors for parameters

docs(auth): Add missing field in Zone

docs(auth): cleanup the OpenAPI file and add consts

docs(auth): clean up swagger file a bit

docs(dnsdist): Add Lua and yaml config tabs for the guides

docs(dnsdist): fix small render issue

docs(dnsdist): fix all method references

docs(dnsdist): use a "palette", so toc following works

docs(dnsdist): fix anchors for Lua class methods

docs(dnsdist): Improve navigation a bit, allow copy for code

docs(dnsdist): get started on using tabbed boxes for Lua/yaml

doc(rec): Fix meson dist and the Zone object