- Add test for allow-notify with a host name.

- Fix to not skip allow-notify hostname lookups when there are only
  urls.

Merge branch 'master' of github.com:NLnetLabs/unbound

- Fix that allow-notify entries with hostnames are copied after IPv4
  and IPv6 lookup.

- Update generated man pages.

Changelog entry for #1396:
- Merge #1396: Log Linux thread ID.
- On Linux systems log the system-wide unique thread ID instead of
  Unbound's internal thread counter.
- Introduce the 'log-thread-id' configuration option to manage logging
  the system-wide Linux thread ID for easier debugging with system
  tools.

Merge pull request #1396 from NLnetLabs/features/thread-id

- Introduce the 'log-thread-id' configuration option to manage logging
  the system-wide Linux thread ID for easier debugging with system
  tools.

- On Linux systems log the system-wide unique thread ID instead of
  Unbound's internal thread counter.

- Fix http test tool petal to not print errors when there is no
  error.

- Fix that fast reload copies the iter_scrub_ns, iter_scrub_cname
  and max_global_quota options.

- Merge #1388: QNX Porting support for unbound.

QNX Porting support for unbound branch-1.24.1 (#1388)

* qnx Porting support for version release-1.24.1

* updating __QNXNTO__ with __QNX__

- Merge #1392: Include "V" (version) option in synopsis.

Include "V" (version) option in synopsis (#1392)

- Fix documentation for requestlist.overwritten and
  requestlist.exceeded, it explains which query was dropped.

Compile fixup for #1381.

Changelog note for #1381, and man page explanation.
- Merge #1381: Do not initialize quic_table unless it is enabled.

Do not initialize quic_table unless it is enabled (#1381)

* Do not initialize quic_table unless it is enabled

Fedora in FIPS mode might fail to initialize ngtcp2 library, because
some ciphers desired are not available.

Make it possible to skip initialization by setting explicitly quic_port
to 0. Unless we have some listeners for port 853 configured, skip its
initialization as well.

Related: https://pagure.io/freeipa/issue/9877

* Fix typo in logged function name

Changelog entry for #1391:
- Merge #1391 from Götz Görisch: Fix documentation to adhere to
  RFC5952.

Merge pull request #1391 from GoetzGoerisch/docs

Fix documentation to adhere to RFC 5952

Fix documentation to adhere to RFC 5952

Update the text representations of IPv6 addresses.

- Fix edns subnet, that scope zero queries, when there is a
  subquery without subnet, and the forward-no-cache or
  stub-no-cache option is set, it is not stored in cache due to
  the forward or stub option.
This has the changelog entry and test.

- Fix edns subnet, that scope zero queries, when there is a
  subquery without subnet, and the forward-no-cache or
  stub-no-cache option is set, it is not stored in cache due to
  the forward or stub option.

- Use the same EDE removal logic when encoding errors as when encoding
  replies.

- Update the unbound-anchor man page to note write permissions of the
  generated file if it is to be used with Unbound's
  auto-trust-anchor-file option.

- Mark "THROWAWAY" and "(DNSSEC) LAME" responses clearly as Unbound's
  categorization in the log output.

- More specific wording in the unbound.conf man page for stub-first
  and forward-first options.

- Fix http2 drop handling to clear the postpone_drop state so that
  other streams on the http2 session are not affected by a drop,
  and can clean up properly if also dropped. Fix http2 send reply
  so that when there is a send failure is does not recurse into
  the mesh functions and also does not drop the connection due to
  the condition of one stream.

- Fix to remove http2 stream mesh state when mesh new request is
  dropping the new request.

- Fix header comment about EDE reference in validator/val_sigcrypt.h.

- Fix to add EDNS CO flag to testbound and debug message log.

- For #1375, there is no DNSTAP environment if it wasn't configured.

- Tag for 1.24.2 release.
  The repository continues with version 1.24.3.

Merge branch 'branch-1.24.2'

- Additional fix for CVE-2025-11411 (possible domain hijacking attack),
  to include YXDOMAIN and non-referral nodata answers in the mitigation as
  well, reported by TaoFei Guo from Peking University, Yang Luo and JianJun
  Chen from Tsinghua University.

- Set version to 1.24.2.

Changelog note for #1375, and lock for lockchecks and ifdef for compile fix.
- Merge #1375: Copy DNSTAP changes from daemon to workers after
  fast_reload.

Copy DNSTAP changes from daemon to workers after fast_reload (#1375)

- On fast_reload, the identity and version strings are always freed and
  reallocated as part of dt_apply_cfg(). Add fr_worker_pickup_dnstap_changes()
  to copy any changes from daemon to workers.

Changelog note for #1374
- Merge #1374: Mesh reply counters.
  This adds the statistics num.queries.replyaddr_limit and
  requestlist.current.replies.

Mesh reply counters (#1374)

* Statistics counter for number of queries dropped by limit on reply addresses

Request list entries can be associated with multiple pending "reply
addresses". Basically each request list entry keeps its own list of
clients that should receive the response once the recursion is finished.
This requires keeping allocations around for each client, and there is
a global limit on the number of *additional* reply addresses that can
be allocated. (Each new request list entry seems to get its own initial
reply address which is not counted against the limit.)

This commit adds a statistics counter "num_queries_replyaddr_limit" that
counts the number of incoming client queries that have been dropped due
to the restriction on allocating additional reply addresses. This allows
distinguishing these drops from other kinds of drops.

* Statistics counter for number of mesh reply entries

Request list entries can be associated with multiple pending "reply
addresses". Since there is a limit on the number of additional reply
addresses that can be allocated which can cause incoming queries to be
dropped if exceeded, it would be nice to be able to track this number.

This commit basically exports the mesh_area's internal counter
`num_reply_addrs` as "threadX.requestlist.current.replies" /
"total.requestlist.current.replies".

- iana portlist updated.

- Fix that when discard timeout drops packet, they are accounted as
  less reply addresses in use in the mesh area.

- Fix configure test for nonstring attribute so that it does not
  accept when the compiler prints a warning about an unknown
  attribute.

- Fix configure test for noreturn attribute so it compiles without
  warning.

- Fix add comment to worker_handle_request function that explain it.

- Fix dns64 log output to log the default instead of a null string.

- Fix #1366: Infra cache does not work correctly for NAT64, by
  moving the NAT64 synthesis from the iterator when selecting a target
  address, to the delegation point itself when adding target
  addresses.

- Fix typo; spotted by T3rm1.

- Fix #1165, document the possible circular dependency when using
  host names instead of IP addresses for name servers in stub/forward
  zones and log a warning when spotted in the configuration.

Changelog entry for #1331:
- Merge #1331 from Jitka Plesníková: Replace deprecated $function by
  new $action, for SWIG.

Merge pull request #1331 from jplesnik/master

Replace deprecated $function by new $action

- For #1364, use OPENSSL_VERSION_TEXT instead of OPENSSL_VERSION_NUMBER
  for part of the configure script. OPENSSL_VERSION_TEXT is more
  consistent across versions.

- Fix unused attribute warning in redis.c when threads are not
  supported.

- Note Havard Eidnes for his suggestions on the mailing list.

- unbound.conf man page updates to include a preview of the section
  clauses and some reformatting around the use of "clause", "option"
  and "attributes".

- Tag for 1.24.1 release.
  The repository continues with version 1.24.2.

Merge branch 'branch-1.24.1'

- Fix CVE-2025-11411 (possible domain hijacking attack), reported by Yuxiao Wu,
  Yunyi Zhang, Baojun Liu and Haixin Duan from Tsinghua University.

- Set version to 1.24.1.

- Update the unbound.conf online man page link and some text
  reformatting in README.md.

Fix for analysis and ports workflows iOS, Windows (#1361)

* - Remove SDK_VERSION and only run failed jobs, echo windows config.log

* Use commented out to fix syntax of ci.

* - Turn off succeeded tests, only link libssp for cross compile, use
no-shared for openssl ios.

* - Remove iPhone armv7s, and iPhoneSimulator i386 from ios ci.
  The lib system does not provide symbols for it on the new macos
  runner.
- Fix to exclude libssp for windows compiles.

- Fix unbound.conf man page entry for root-hints to say it can
  be used without strongly recommending it.

- Remove extra gpg instructions from makedist.sh output.

- ci: don't fail fast for the analysis_port workflow.

Update ios ci with older sdk version to use.

- Fix to update openssl version in ios ci.

- Add extended dns error code for invalid query type to definition
  list.

- Fix to reply with SERVFAIL when the wait-limit is exceeded.

- Fix to drop UDP for discard-timeout, but not stream connections.

- Fix #1358 Enabling FIPS in OpenSSL causes unit test to fail.

- Note clearly that 'wait-limit: 0' disables all wait limits.
- 'wait-limit-cookie: 0' can now disable cookie validated wait
  limits.

- Note 'respip' and 'dns64' module order in the unbound.conf
  man page.

- Fix that https is set up as enabled when the port is listed in
  interface-automatic-ports. Also for the set up of quic it is
  enabled when listed there.

- Fix for #1344: Fix that respip and dns64 can be enabled at the
  same time, the client info is copied for attach_sub and add_sub
  calls. That makes respip work on dns64 synthesized answers, and
  also makes RPZ work with DNS64. The order for the modules is
  module-config: "respip dns64 validator iterator".

- Fix #1344: module conf 'respip dns64 validator cachedb iterator'
  is not known to work.

- Fix #1353: auth-zone can not use empty label for $ORIGIN when
  http download.

Changelog entry for #1351:
- Merge #1351: ac_cv_func_malloc_0_nonnull for malloc(0) check.

- Rebuild configure script from its sources.

ac_cv_func_malloc_0_nonnull for malloc(0) check (#1351)

- For #1339, use the standard variable ac_cv_func_malloc_0_nonnull for
  the malloc(0) check during configure; patch from Helmut Grohne.

Changelog entry for #1349:
- Merge #1349: Fix #1346: [FR] Please allow back TLS 1.2.

- Fix fr_atomic_copy_cfg.

Fix #1346: [FR] Please allow back TLS 1.2. (#1349)

* 'tls-use-system-policy-versions' is introduced to allow Unbound to use
  any system available TLS version when serving TLS.

* Apply suggestions from code review

---------

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- Neaten up the change in acx_nlnetlabs.m4 to version 49.

- Fix modstack_call_init to use the original string when it has
  changed, to call modstack_config with. And skip the changed name
  in the string correctly. Thanks to Jan Komissar.

- Rebuild configure script from its sources.

- Test for nonstring attribute in configure and add
  nonstring attribute annotations.

Update Mastodon shield

- Avoid calling mesh_detect_cycle_found() when there is no mesh state
  to begin with.

- For #1350, same CAP_NET_ADMIN change for unbound_portable.service.in
  as well.

Changelog entry for #1350:
- Merge #1350 from Maryse47: unbound.service.in: allow CAP_NET_ADMIN.

Merge pull request #1350 from Maryse47/patch-1

unbound.service.in: allow CAP_NET_ADMIN and drop CAP_NET_RAW (redundant now).

- For #1352, align with the current Python<3 code.

Changelog entry for #1352:
- Merge #1352 from Petr Vaganov: pythonmod: fix HANDLE_LEAK on
  pythonmod_init.

unbound.service.in: drop CAP_NET_RAW

CAP_NET_RAW is unnecessary after CAP_NET_ADMIN was added

Merge pull request #1352 from petrvaganoff/dev-52227

pythonmod: fix HANDLE_LEAK on pythonmod_init

pythonmod: fix HANDLE_LEAK on pythonmod_init

Found by the static analyzer Svace (ISP RAS).

Handle 'script_py' is created at pythonmod.c:436
by calling function 'fopen' and lost at pythonmod.c:457,465.

Signed-off-by: Petr Vaganov <petrvaganoff@gmail.com>

unbound.service.in: allow CAP_NET_ADMIN

Allowing CAP_NET_ADMIN is necessary for SO_SNDBUFFORCE and SO_RCVBUFFORCE calls.

- unbound.conf manpage: explicitly mention RFC6891.

Changelog entry for #1337:
- Merge #1337: 0 TTL cached replies and some TTL behavior changes.