- Fix unused variable warning.

Changelog comment for #1408
- Merge #1408: Fix shared memory stats with threads.

Fix shared memory stats with threads (#1408)

* - stats-shm-volley, with mesh_time_median the additions add up to the correct
  average that is used.

* - stats-shm-volley, the stat interval is selected with offset.

* - stats-shm-volley, stat totals in separate struct. The first thread zeroes
  it, and the last thread copies it.

* - stats-shm-volley, the array is inited for a new round if one or more

* - stats-shm-volley, the array is inited for a new round if one or more
  threads are not responsive for stat collection.

* - stats-shm-volley review, typos and slightly more detailed text for comments.

---------

Co-authored-by: Yorgos Thessalonikefs <yorgos@nlnetlabs.nl>

- Fix defense in depth for service callback with empty packet.

- Fix test code to allow empty hex answer packets from testbound.

- Fix to allow the control-interface config to use ip@port notation.

- Fix to check for invalid http content length and chunk size,
  and to check the RR rdata field lengths when decompressing and
  inserting RRs from an authority zone transfer. This stops
  large memory use and heap buffer-overflow read errors. Thanks
  to Haruto Kimura (Stella) for the report.

- Fix for testcode pktview to check buffer size and log errors.

- Fix to add tls-service-key to memory printout for fast_reload.

- Fix detection of http listening port in fast_reload.

- For #278: fast_reload can reload tls-service-key, tls-service-pem
  and tls-cert-bundle changes. It checks the modification time of
  the tls-service-key and tls-service-pem files for update.

- iana portlist updated.

- Fix #278: DoT: complete unbound restart required on certificate
  renew. Fix so that a reload checks if the files have changed, and
  if so, reload the contexts. Also for DoH, DoQ and outgoing DoT.

- Fix to ignore out-of-zone DNAME records for CNAME synthesis. Thanks
  to Yuxiao Wu, Yiyi Wang, Zhang Chao, Baojun Liu, and Haixin Duan from
  Tsinghua University.

Changelog comment for #1418
- Merge #1418: Apply cache TTL policy to DNAME and synthesized
  CNAME on wire path.

Apply cache TTL policy to DNAME and synthesized CNAME on wire path (#1418)

When the scrubber synthesizes a CNAME from a DNAME (authority omits CNAME),
apply cache-min-ttl/cache-max-ttl to both DNAME and synthesized CNAME in
msg_parse so they stay equal and respect config (RFC 6672).

- iterator/iter_scrub.c: In synth_cname_rrset(), clamp TTL to [MIN_TTL,
  MAX_TTL] when !SERVE_ORIGINAL_TTL and write back to both synth CNAME
  and DNAME rrset. Removes FIXME.

- Fix compile failure in unbound-checkconf for older gcc compiler.

- Constrain the explicit macros for remote.c:fr_atomic_copy_cfg().

- Warn for unused 'nodefault' local-zone configuration in
  unbound-checkconf (related to #1416).

- Document the suggestion for a higher value for 'outgoing-range';
  helps when the request list is full.

Changelog entry for #1415
- Merge #1415: Add lock unlock for view in memory error handling.

Add lock unlock for view in memory error handling (#1415)

view->lock would be skipped during an out of memory error bailout.

- Update generated man pages.

- Fix for DNS Rebinding Bypass via SVCB/HTTPS Records in Unbound.
  Thanks to Kunta Chu, School of Software, Tsinghua University,
  Taofei Guo, Peking University, and Jianjun Chen, Institute for
  Network Sciences and Cyberspace, Tsinghua University for the
  report. The private-address option is fixed to also elide
  SVCB and HTTPS records that match the filter.

- For #1411: Introduce a failing case in the rpl test so that it only
  passes with the fix in place.

- For #1411: Fix that the lookup for DNAME uses flag. Fix assertion
  in expired calc debug routine.

For #1411, fix up doc/Changelog.

Allow synthesized DNAME TTL=0 to be served from cache within grace period (#1411)

* Allow synthesized DNAME TTL=0 to be served from cache within grace period

Addresses doc/TODO: cache TTL=0 packets properly for synthesis.
- rrset_cache_lookup: allow TTL=0 DNAME within 1s grace for synthesis
- synth_dname_msg: support PACKED_RRSET_UPSTREAM_0TTL, return TTL=0 to client

Reduces recursion when authoritative servers return DNAME with TTL=0 (RFC 2308).
Client response still correctly returns TTL=0.

Note: Test with proper TTL=0 DNSSEC RRSIGs omitted - requires ldns-signzone
to generate valid signatures for TTL=0 RRsets.

* Add iter_dname_ttl0.rpl replay test for DNAME TTL=0
Tests signed DNAME with TTL=0 and RRSIG Original TTL=0 (RFC 4034).
Verifies end-to-end handling of TTL=0 DNAME responses.

- Update generated man pages.

For #1409: Changelog entry and more text.

Documentation CNAME in redirect-type local-zone (#1409)

- Fix validator to set unchecked when validation recursion
  requests are passed. The edns subnet module checks if validation
  is needed for a cache response, and set the validator to protect
  the cache with validation for non-subnet lookups.

- Fixed some typos reported in #1395 by rezky_nightky.

- Fix to disallow cache lookup/store in external cachedb when a
  forwarder/stub forbids it with the no-cache option.

- Fix to make the cachedb_val_expired.crpl succeed.

- Fix to have cachedb not return expired bogus data as non-bogus.

- For #1405: local-zone always_refuse also blocks queries of type DS.

- Fix to remove unused conditional from cookie timestamp at
  worker env.

- Fix that cachedb aggressive negative responses have the RA flag set.

- Fix #1404: Priming the root key fails after loading ipfire.org RPZ
  zones. Fixed by including the ZONEMD RRtype in the list of types to
  ignore for RPZ zones. Analysis and patch provided by ummeegge.

- Fix #1403: Inconsistency between do-nat64 and do-not-query-address
  during retries.

- Update generated man pages.

Changelog note and documentation for #1401.
- Merge #1401: Add a new build-time option for system TLS.
  The --enable-system-tls flag enables the
  tls-use-system-policy-versions setting by default.

Add a new build-time option for system TLS (#1401)

We want to use crypto-policy provided configuration always in our
builds. Allow changing the default of tls-use-system-policy-versions at
build time by a simple configure parameter.

- Fix #1389: [FR] replacement with ECC-GOST12 according to RFC9558.
  Patch contributed by Igor V. Ruzanov, available in
  contrib/gost12.patch.

Fix attribution of fix.

- Fix local privilege escalation on Windows. Thanks to Hao Huang
  for the report. The OpenSSL init calls are set to not load
  the openssl.cnf file when compiled for Windows.

- Eagerly remove .skip mark files in between mini_tdir.sh runs in case
  there has been a change on the environment.

- Add test for allow-notify with a host name.

- Fix to not skip allow-notify hostname lookups when there are only
  urls.

Merge branch 'master' of github.com:NLnetLabs/unbound

- Fix that allow-notify entries with hostnames are copied after IPv4
  and IPv6 lookup.

- Update generated man pages.

Changelog entry for #1396:
- Merge #1396: Log Linux thread ID.
- On Linux systems log the system-wide unique thread ID instead of
  Unbound's internal thread counter.
- Introduce the 'log-thread-id' configuration option to manage logging
  the system-wide Linux thread ID for easier debugging with system
  tools.

Merge pull request #1396 from NLnetLabs/features/thread-id

- Introduce the 'log-thread-id' configuration option to manage logging
  the system-wide Linux thread ID for easier debugging with system
  tools.

- On Linux systems log the system-wide unique thread ID instead of
  Unbound's internal thread counter.

- Fix http test tool petal to not print errors when there is no
  error.

- Fix that fast reload copies the iter_scrub_ns, iter_scrub_cname
  and max_global_quota options.

- Merge #1388: QNX Porting support for unbound.

QNX Porting support for unbound branch-1.24.1 (#1388)

* qnx Porting support for version release-1.24.1

* updating __QNXNTO__ with __QNX__

- Merge #1392: Include "V" (version) option in synopsis.

Include "V" (version) option in synopsis (#1392)

- Fix documentation for requestlist.overwritten and
  requestlist.exceeded, it explains which query was dropped.

Compile fixup for #1381.

Changelog note for #1381, and man page explanation.
- Merge #1381: Do not initialize quic_table unless it is enabled.

Do not initialize quic_table unless it is enabled (#1381)

* Do not initialize quic_table unless it is enabled

Fedora in FIPS mode might fail to initialize ngtcp2 library, because
some ciphers desired are not available.

Make it possible to skip initialization by setting explicitly quic_port
to 0. Unless we have some listeners for port 853 configured, skip its
initialization as well.

Related: https://pagure.io/freeipa/issue/9877

* Fix typo in logged function name

Changelog entry for #1391:
- Merge #1391 from Götz Görisch: Fix documentation to adhere to
  RFC5952.

Merge pull request #1391 from GoetzGoerisch/docs

Fix documentation to adhere to RFC 5952

Fix documentation to adhere to RFC 5952

Update the text representations of IPv6 addresses.

- Fix edns subnet, that scope zero queries, when there is a
  subquery without subnet, and the forward-no-cache or
  stub-no-cache option is set, it is not stored in cache due to
  the forward or stub option.
This has the changelog entry and test.

- Fix edns subnet, that scope zero queries, when there is a
  subquery without subnet, and the forward-no-cache or
  stub-no-cache option is set, it is not stored in cache due to
  the forward or stub option.

- Use the same EDE removal logic when encoding errors as when encoding
  replies.

- Update the unbound-anchor man page to note write permissions of the
  generated file if it is to be used with Unbound's
  auto-trust-anchor-file option.

- Mark "THROWAWAY" and "(DNSSEC) LAME" responses clearly as Unbound's
  categorization in the log output.

- More specific wording in the unbound.conf man page for stub-first
  and forward-first options.

- Fix http2 drop handling to clear the postpone_drop state so that
  other streams on the http2 session are not affected by a drop,
  and can clean up properly if also dropped. Fix http2 send reply
  so that when there is a send failure is does not recurse into
  the mesh functions and also does not drop the connection due to
  the condition of one stream.

- Fix to remove http2 stream mesh state when mesh new request is
  dropping the new request.

- Fix header comment about EDE reference in validator/val_sigcrypt.h.

- Fix to add EDNS CO flag to testbound and debug message log.

- For #1375, there is no DNSTAP environment if it wasn't configured.

- Tag for 1.24.2 release.
  The repository continues with version 1.24.3.

Merge branch 'branch-1.24.2'

- Additional fix for CVE-2025-11411 (possible domain hijacking attack),
  to include YXDOMAIN and non-referral nodata answers in the mitigation as
  well, reported by TaoFei Guo from Peking University, Yang Luo and JianJun
  Chen from Tsinghua University.

- Set version to 1.24.2.

Changelog note for #1375, and lock for lockchecks and ifdef for compile fix.
- Merge #1375: Copy DNSTAP changes from daemon to workers after
  fast_reload.

Copy DNSTAP changes from daemon to workers after fast_reload (#1375)

- On fast_reload, the identity and version strings are always freed and
  reallocated as part of dt_apply_cfg(). Add fr_worker_pickup_dnstap_changes()
  to copy any changes from daemon to workers.

Changelog note for #1374
- Merge #1374: Mesh reply counters.
  This adds the statistics num.queries.replyaddr_limit and
  requestlist.current.replies.

Mesh reply counters (#1374)

* Statistics counter for number of queries dropped by limit on reply addresses

Request list entries can be associated with multiple pending "reply
addresses". Basically each request list entry keeps its own list of
clients that should receive the response once the recursion is finished.
This requires keeping allocations around for each client, and there is
a global limit on the number of *additional* reply addresses that can
be allocated. (Each new request list entry seems to get its own initial
reply address which is not counted against the limit.)

This commit adds a statistics counter "num_queries_replyaddr_limit" that
counts the number of incoming client queries that have been dropped due
to the restriction on allocating additional reply addresses. This allows
distinguishing these drops from other kinds of drops.

* Statistics counter for number of mesh reply entries

Request list entries can be associated with multiple pending "reply
addresses". Since there is a limit on the number of additional reply
addresses that can be allocated which can cause incoming queries to be
dropped if exceeded, it would be nice to be able to track this number.

This commit basically exports the mesh_area's internal counter
`num_reply_addrs` as "threadX.requestlist.current.replies" /
"total.requestlist.current.replies".

- iana portlist updated.

- Fix that when discard timeout drops packet, they are accounted as
  less reply addresses in use in the mesh area.

- Fix configure test for nonstring attribute so that it does not
  accept when the compiler prints a warning about an unknown
  attribute.

- Fix configure test for noreturn attribute so it compiles without
  warning.

- Fix add comment to worker_handle_request function that explain it.

- Fix dns64 log output to log the default instead of a null string.

- Fix #1366: Infra cache does not work correctly for NAT64, by
  moving the NAT64 synthesis from the iterator when selecting a target
  address, to the delegation point itself when adding target
  addresses.

- Fix typo; spotted by T3rm1.

- Fix #1165, document the possible circular dependency when using
  host names instead of IP addresses for name servers in stub/forward
  zones and log a warning when spotted in the configuration.

Changelog entry for #1331:
- Merge #1331 from Jitka Plesníková: Replace deprecated $function by
  new $action, for SWIG.

Merge pull request #1331 from jplesnik/master

Replace deprecated $function by new $action