- Merge 1.9.4 release with fix for vulnerability CVE-2019-16866.
- Continue with development of 1.9.5.

Merge remote-tracking branch 'origin/branch-1.9.4'

Branch 1.9.4 prepares for 1.9.4 release from 1.9.3

Changelog entry for Merge #90.
- Merge #90 from vcunat: fix build with nettle-3.5.

Merge pull request #90 from vcunat/p/nettle-3.5

fix build with nettle-3.5

fix build with nettle-3.5

https://git.lysator.liu.se/nettle/nettle/commit/8bf4747d9

Changelog note for #87.
- Merge #87 from hardfalcon: Fix contrib/unbound.service.in,
  Drop CAP_KILL, use + prefix for ExecReload= instead.

Merge pull request #87 from hardfalcon/patch-1

Drop CAP_KILL, use + prefix for ExecReload= instead

Drop CAP_KILL, use + prefix for ExecReload= instead

CAP_KILL seems a bit too much privileges for the sole purpose of being able to make ExecReload= work.
Use the + prefix on ExecReload= instead to run "/bin/kill -HUP $MAINPID" with full privileges, ignoring the restrictions from CapabilityBoundingSet=.

See https://www.freedesktop.org/software/systemd/man/systemd.service.html#ExecStart= for further details about the + prefix in ExecReload=.

- The unbound.conf includes are sorted ascending, for include
  statements with a '*' from glob.

Added -b / source address option to smallapp/unbound-anchor.c

Changelog entry for fix #84 and #85.
- Merge #85 for #84 from sam-lunt: Add kill capability to systemd
  service file to fix that systemctl reload fails.

Merge pull request #85 from sam-lunt/add-cap-kill

Add kill capability to systemd service file

Add kill capability to systemd service file

The ExecReload command calls kills on a process owned by the unbound user (or whatever user is configured). To do so, it needs the CAP_KILL capability.

Changelog entry for #83
- Merge #83 from Maryse47: contrib/unbound.service.in: do not fork
  into the background.

Merge pull request #83 from Maryse47/nofork

unbound.service.in: do not fork into the background

unbound.service.in: do not fork into the background

This is needed when unbound config doesn't set "do-daemonize: no" by itself otherwise starting service fails with:
 systemd[1]: unbound.service: Got notification message from PID <PID>, but reception only permitted for main PID which is currently not known

https://github.com/NLnetLabs/unbound/blob/release-1.9.3/doc/example.conf.in#L236

Changelog entry for #81.
- Merge #81 from Maryse47: Consistently use /dev/urandom instead
  of /dev/random in scripts and docs.

Merge pull request #81 from Maryse47/urandom

Consistently use /dev/urandom instead of /dev/random in scripts and docs

(Changelog entry for #82).
- Merge #82 from hardfalcon: Downgrade CAP_NET_ADMIN to CAP_NET_RAW
  in unbound.service.

Merge pull request #82 from hardfalcon/patch-1

Downgrade CAP_NET_ADMIN to CAP_NET_RAW in unbound.service

Downgrade CAP_NET_ADMIN to CAP_NET_RAW in unbound.service

Since kernel 3.2, CAP_NET_RAW instead of CAP_NET_ADMIN is sufficient to allow for the usage of the IP_TRANSPARENT socket option. CAP_NET_ADMIN allows far more mayhem then CAP_NET_RAW, so prefer the safer, more restrictive solution.

Consistently use /dev/urandom instead of /dev/random in scripts and docs

Unbound code call /dev/urandom (see below)  but various docs and scripts
mention /dev/random which may be confusing.

https://github.com/NLnetLabs/unbound/blob/release-1.9.3/compat/arc4random.c#L107
https://github.com/NLnetLabs/unbound/blob/release-1.9.3/compat/getentropy_linux.c#L251
https://github.com/NLnetLabs/unbound/blob/release-1.9.3/compat/getentropy_osx.c
https://github.com/NLnetLabs/unbound/blob/release-1.9.3/compat/getentropy_solaris.c#L116

- Merge #80 from stasic: Improve wording in man page.
(Changelog entry for merge)

Merge pull request #80 from stasic/patch-1

Improve wording in man page

Improve wording in man page

Make it more consistent throughout the man page.
If a config option can either be *yes* or *no* use exact these terms and not something like *on* which could be easily read as *no*.

- Fix wrong response ttl for prepended short CNAME ttls, this would
  create a wrong zero_ttl response count with serve-expired enabled.

- Fix for oss-fuzz build warning.

- Fix fix for #78 to also free service callback struct.

- oss-fuzz badge on README.md.

- Merge pull request #76 from Maryse47: Improvements and fixes for
  systemd unbound.service.
(Changelog note for merge of #76).

Merge pull request #76 from Maryse47/patch-1

Improvements and fixes for systemd unbound.service

- Fix #78: Memory leak in outside_network.c.

Improvements and fixes for systemd unbound.service

1. Remove `ProtectKernelTunables=true`: This prevents various with socket options from working as shown below.
`unbound[] warning: so-rcvbuf 1048576 was not granted. Got 425984. To fix: start with root permissions(linux) or sysctl bigger net.core.rmem_max(linux) or kern.ipc.maxsockbuf(bsd) values.`

2. Add `CAP_NET_ADMIN` to available caps which is needed for `ip-transparent: yes` config option to work as shown below.
`unbound[] warning: setsockopt(.. IP_TRANSPARENT ..) failed: Operation not permitted`

3. Make `ReadWritePaths` less permissive: `UNBOUND_SYSCONF_DIR` equals to `sysconfdir` which usually equals to `/etc` and `UNBOUND_LOCALSTATE_DIR` equals to `localstatedir` which usually equals to `/var`. Allowing write access for those dirs shouldn't be needed. The only dirs unbound should be allow to write to are `/run` ( for pidfile), `@UNBOUND_RUN_DIR@` (for chroot) and `@UNBOUND_CHROOT_DIR@` in case it differs from the previous one.

4. Bind-mount `/run/systemd/notify`, `UNBOUND_PIDFILE`, `/dev/log`, `/dev/urandom` in order to use them inside chroot.

5. Add few extra hardening options: `RestrictNamespaces`, `LockPersonality` and `RestrictSUIDSGID` should be safe to use.

- Use explicit bzero for wiping clear buffer of hash in cachedb,
  reported by Eric Sesterhenn from X41 D-Sec.

Typo fix, reported by jpmens

Merge branch 'master' into rpz

- Merge clean up
- revert dname2str off by one fix
- fix str2dname off by one at right location

Merge remote-tracking branch 'ralph/feature/rpz' into rpz

- Fix #72: configure --with-syslog-facility=LOCAL0-7 with default
  LOG_DAEMON (as before) can set the syslog facility that the server
  uses to log messages.

- Fix #71: fix openssl error squelch commit compilation error.

- squelch DNS over TLS errors 'ssl handshake failed crypto error'
  on low verbosity, they show on verbosity 3 (query details), because
  there is a high volume and the operator cannot do anything for the
  remote failure.  Specifically filters the high volume errors.

- updated Makefile dependencies.

- ipset: refactor long routine into three smaller ones.

- ipset module #28: log that an address is added, when verbosity high.

- Master is 1.9.4 in development.

Don't pass along unused parameter

 - add always_deny action, use this one for RPZ
 - use localzone's memory layout when removing rr from rrset

- Fix contrib/fastrpz.patch asprintf return value checks.

- 1.9.3rc2 release candidate tag.

delete duplicate file.

updated fastrpz.patch to apply cleanly.

- Fix that pkg-config is setup before --enable-systemd needs it.

- Fix log_dns_msg to log irrespective of minimal responses config.

- Document limitation of pidfile removal outside of chroot directory.

- Remove warning about unknown cast-function-type warning pragma.

- Fixup contrib/fastrpz.patch

- Please doxygen's parser for "@" occurrence in doxygen comment.

- Fix unittest valgrind false positive uninitialised value report,
  where if gcc 9.1.1 uses -O2 (but not -O1) then valgrind 3.15.0
  issues an uninitialised value for the token buffer at the str2wire.c
  rrinternal_get_owner() strcmp with the '@' value.  Rewritten to use
  straight character comparisons removes the false positive.  Also
  valgrinds --expensive-definedness-checks=yes can stop this false
  positive.

Prevent potential double free

- (for later release): -V prints if TCP fastopen is available.

- 1.9.3rc1 release candidate tag.

- Fix character buffer size in ub_ctx_hosts.

- escape commandline contents for -V.

- avoid warning about upcast on 32bit systems for autotrust.

- Fix autotrust temp file uniqueness windows compile.

- iana portlist updated.

- Fix warning for unused variable for compilation without systemd.

- Fix #59, when compiled with systemd support check that we can properly
  communicate with systemd through the `NOTIFY_SOCKET`.

Merge pull request #57 from NLnetLabs/show-build-options

Introduce `-V` option to print the version number and build options.

Merge branch 'master' into show-build-options

- Generate configlexer with newer flex.

autoconf for the '-V' option changes.

- Add RPZ AXFR test
- Fix memory leak

- Add RPZ response IP override test

- Introduce `-V` option to print the version number and build options.
  Previously reported build options like linked libs and linked modules
  are now moved from `-h` to `-V` as well for consistency.
- PACKAGE_BUGREPORT now also includes link to GitHub issues.

- Add RPZ respip test
- Fix rpz memory leak

- Add RPZ/QNAME override test

- Extend RPZ/QNAME trigger test
- Fix potential memory leak

- Added RPZ/QNAME trigger test

Update RPZ man page and example.conf

Add statistics support for disabled (action override) response IP RPZ
triggers.

- Check repinfo in worker_handle_request, if null, drop it.

- Fix to timeval_add for remaining second in microseconds.

- Fix to return after failed auth zone http chunk write.
- Fix to remove unused test for task_probe existance.

- Add RPZ response IP override option, logging, and statistics

- Fix #52 #53, fix for example fail program.

- For #52 #53, second context does not close logfile override.

Fix comment.

- Add hex print of trust anchor pointer to trust anchor file temp
  name to make it unique, for libunbound created multiple contexts.

- Add verbose log message when auth zone file is written, at level 4.

- Fix question section mismatch in local zone redirect.

Fixup space in error message.

- Fix #49: Set no renegotiation on the SSL context to stop client
  session renegotiation.

 - Fix doxygen issue
 - Fix memory leak
 - IANA ports update
 - merge littlehash ASAN changes

- Added RPZ response IP support

- Fix #48: Unbound returns additional records on NODATA response,
  if minimal-responses is enabled, also the additional for negative
  responses is removed.

-  Fix in respip addrtree selection. Absence of addr_tree_init_parents() call
   made it impossible to go up the tree when the matching netmask is too
   specific.

- Fix for possible assertion failure when answering respip CNAME from cache.

Nicer spelling and layout.