dnsdist: buffer h3 headers until query has been dispatched

Merge pull request #13688 from rgacogne/fix-provenance-artifacts

build-packages: Fix the handling of provenance artifacts

build-packages: Fix the handling of provenance artifacts

The current version of the SLSA framework uses upload-artifact v3
which is not compatible with download-artifact v4 (don't ask me).

Prepare for rec-5.0.1 final release

Merge pull request #13680 from rgacogne/rec-mtasker-1533199

rec: Fix a potential null deref in `MTasker::schedule()`

Merge pull request #13662 from PowerDNS/dependabot/cargo/pdns/recursordist/settings/rust/unsafe-libyaml-0.2.10

build(deps): bump unsafe-libyaml from 0.2.9 to 0.2.10 in /pdns/recursordist/settings/rust

Merge pull request #13679 from rgacogne/update-upload-download-artifact

ci: Update upload-artifact and download-artifact to version 4

rec: Fix a clang-tidy warning in test-mtasker.cc

Fixup Github clang-tidy helper scripts

rec: Fix a potential null deref in MTasker::schedule()

The bug is located in a part of the code that we never actually
use since we always pass the current time to the function, so
I decided to reduce the complexity by making this parameter mandatory.

Reported by Coverity as CID 1533199.

std::get removals

Can be replaced by structured bindings.

Signed-off-by: Rosen Penev <rosenp@gmail.com>

fix use after move

instead of calling append(), just construct a new string.

Signed-off-by: Rosen Penev <rosenp@gmail.com>

clang-tidy: pass function by ref

Found with performance-unnecessary-value-param
Found with performance-unnecessary-copy-initialization

Signed-off-by: Rosen Penev <rosenp@gmail.com>

clang-tidy: avoid recursive include

Found with misc-header-include-cycle

Signed-off-by: Rosen Penev <rosenp@gmail.com>

clang-tidy: add noexcept for move stuff

Found with performance-noexcept-move-constructor

fix error type

runtime_error does not take rvalue parameters. It's a copy anyway.

Signed-off-by: Rosen Penev <rosenp@gmail.com>

clang-tidy: use override

Found with modernize-use-override

Signed-off-by: Rosen Penev <rosenp@gmail.com>

clang-tidy: remove void

Found with modernize-redundant-void-arg

Signed-off-by: Rosen Penev <rosenp@gmail.com>

clang-tidy: use delete

Found with modernize-use-equals-delete

Signed-off-by: Rosen Penev <rosenp@gmail.com>

clang-tidy: use make functions

Found with modernize-make-*

Signed-off-by: Rosen Penev <rosenp@gmail.com>

clang-tidy: use equals default

Found with modernize-use-equals-default

Signed-off-by: Rosen Penev <rosenp@gmail.com>

Merge pull request #13667 from rgacogne/ddist-coverage-cleanup-lua-on-exception

dnsdist: Clean up the Lua objects before exiting

Merge pull request #13676 from rgacogne/ddist-quic-pmtu

dnsdist: Enable PMTU discovery and disable fragmentation on QUIC binds

Merge pull request #13678 from rgacogne/ddist-doh3-uni-streams

dnsdist: Grant unidirectional HTTP/3 streams for DoH3

ci: Update upload-artifact and download-artifact to version 4

dnsdist: Grant unidirectional HTTP/3 streams for DoH3

While unidirectional streams are not needed for DNS over QUIC, they
are required by the HTTP/3 RFC and thus needed for DNS over HTTP/3.
This change makes curl and Firefix happy with dnsdist's DoH3
implementation.

dnsdist: Enable PMTU discovery and disable fragmentation on QUIC binds

Merge pull request #13674 from dmachard/dockerfile-dnsdist-add-doqdoh3

Enable doq and doh3 in dockerfile-dnsdist

Merge pull request #13652 from omoerbeek/mtasker-cleanup

rec: MTasker cleanup and move to recursordist

Merge pull request #13675 from rgacogne/rec-fix-alabaster-doc-error

Fix documentation building error for dnsdist and recursor

dnsdist: Fix the version of alabaster when building the doc

Fixes
```
The alabaster extension used by this project needs at least Sphinx v3.4; it therefore cannot be built with this version.
```

rec: Fix the version of alabaster when building the doc

Fixes
```
The alabaster extension used by this project needs at least Sphinx v3.4; it therefore cannot be built with this version.
```

Merge pull request #13670 from chbruyand/dnsdist-doq-acl

dnsdist: doq,doh3 make sure we enforce any ACL

enable doq and doh3 in dockerfile-dnsdist

Merge pull request #13664 from chbruyand/dnsdist-udp-buffers

dnsdist: increase receive and send buffers to max

dnsdist: doq,doh3 make sure we enforce any ACL

dnsdist: tidy variable name

dnsdist: Clean up the Lua objects before exiting

When code coverage is enabled, we try to call `exit()` instead of our
usual use of `_exit()` to get more accurate coverage. It does however
trigger a race condition between the destruction of Lua objects and
the Lua context(s) they belong to, so we try to explicitly clean up
the objects before calling `exit()`.

Merge pull request #13666 from rgacogne/ddist-congestion-2

dnsdist: Optimize the DoQ packet handling path

Merge pull request #13653 from rgacogne/openssf-compiler-options-hardening-guide

CI: Enable more compiler hardening options during our CI run

dnsdist: try to increase receive and send buffers to max

dnsdist: Avoid a few more allocations in the DoQ code

dnsdist: Re-format doh3.cc and doq.cc

dnsdist: Delint DoQ and DoH3

dnsdist: Try flushing egress data after processing readable streams

dnsdist: Handle early data in DoQ/DoH3

Socket: Prevent alloc+copy in Socket::recvFromAsync()

dnsdist: Read as many DoH3 packets as possible

dnsdist: Read as many DoQ packets as possible

Socket: Return the remote peer from Socket::recvFromAsync

dnsdist: Split DoH3 'socket readable' to a separate function

dnsdist: Split DoQ 'socket readable' to a separate function

dnsdist: Loop on `quiche_conn_stream_recv()` until done

We might get more than one stream event in a single packet.

dnsdist: Split the DoQ 'readable stream' handling code to a function

Merge pull request #13627 from romeroalx/schedule-workflow-releases

GH Actions: Schedule `build-and-test-all` and `builder` workflows from `master` for different releases

Merge pull request #13663 from fredmorcos/fix-ws-auth-formatting

Fix vector list formatting in `ws-auth.cc`

Merge pull request #13661 from fredmorcos/fix-ws-auth

Fix macros and `NOLINT`s in `ws-auth.cc`

Fix formatting in ws-auth.cc

Replace the TSIGKeyFromId() macro with a TSIGKeyData class in ws-auth.cc

Get rid of some NOLINTs in ws-auth.cc

Replace the zoneFromId() macro with a ZoneData class in ws-auth.cc

Merge pull request #13613 from fredmorcos/ws-auth-statbag-cleanup

Remove the `extern`ed `StatBag` from `ws-auth`

build(deps): bump unsafe-libyaml in /pdns/recursordist/settings/rust

Bumps [unsafe-libyaml](https://github.com/dtolnay/unsafe-libyaml) from 0.2.9 to 0.2.10.
- [Release notes](https://github.com/dtolnay/unsafe-libyaml/releases)
- [Commits](https://github.com/dtolnay/unsafe-libyaml/compare/0.2.9...0.2.10)

---
updated-dependencies:
- dependency-name: unsafe-libyaml
  dependency-type: indirect
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #13615 from fredmorcos/fix-warnings-about-warnings-gcc

Fix "unknown option" warnings on GCC and older Clang

Delint ws-auth.cc

Delint ws-api.cc

Format ws-api.cc

Format ws-api.hh

Remove global StatBag from ws-auth

Whitespace cleanup

Move Ewma impl to ws-auth.cc

Format ws-auth.cc

Format ws-auth.hh

Merge pull request #13465 from franklouwers/master

clarify `allow-notify-from` docs

Merge pull request #13628 from Habbie/auth-4.8.4-secpoll-docs

auth-4.8.4: secpoll&docs

auth-4.8.4: secpoll&docs

Merge pull request #13617 from fredmorcos/fix-non-zero-offset-ptr

Fix warning about pointer with non-zero offset being freed

Merge pull request #13630 from rgacogne/ddist-coverity-20231214

dnsdist: Fix Coverity warnings

Merge pull request #13656 from omoerbeek/rec-prep-5.0.0-rc2

Rec: prep 5.0.0 rc2

Prep for rec-5.0.0-rc2

rec: allow out-of-tree builds

Fix warning about pointer with non-zero offset being freed

dnsdist: Fix compilation of the console

dnsdist: Delint dnsdist's console code

Merge pull request #13642 from zeha/auth-make-outoftree

auth: allow building in separate build directory

Merge pull request #13608 from romeroalx/look-for-binaries-pr

GH Actions: force CI failure if there are binaries present in a Pull Request

More reorg and tidy

Merge pull request #13635 from mind04/auth-wildcard-cname

Auth: improve wildcard CNAME handling

Merge pull request #13514 from zeha/api-flush-all

auth api: flush all caches when flushing

dnsdist: More delinting in dnsdist-lua-bindings.cc

Merge pull request #13641 from zeha/fix-zone-delete-cache

ws-auth: restore zone cache cleanup in apiServerZoneDetailDELETE

dnsdist: Delint dnsdist-crypto.cc

dnsdist: Reformat dnsdist-crypto.cc

dnsdist: Fall back to libcrypto for authenticated encryption

We used to fall back to plain-text for console communications when
libsodium was not available, which was not great. Now that we are
also using the authenticated encryption module to secure our QUIC
tokens, let's fall back to OpenSSL's Chacha20 Poly 1305
implementation instead.
Note that, unfortunately, both implementations are not compatible
so the console communication format will be different depending on
whether libsodium is available. I believe this is still better than
plain-text :)

Merge pull request #13648 from rgacogne/ddist-doh3doc

dnsdist: Document `showDOH3Frontends`, how to advertise HTTP/3 support over HTTP/2

auth: add a configurable delay for notifications

Merge pull request #13638 from rgacogne/ddist-doq-stalled-connections

dnsdist: Handle congested DoQ streams

dnsdist: Fix alt-svc typo in the documentation example

Merge pull request #13647 from rgacogne/ddist-doh3-default-443

dnsdist: Set the DNS over HTTP/3 default port to 443

dnsdist: Document how to advertise HTTP/3 support over HTTP/2