- Fix that dns64 cleans up the allocated message if the adjust
  routines fail, and checks if there is a reply before cache
  store, also unbound checks if A and AAAA are malformed
  for auth-zones. Thanks to Qifan Zhang, Palo Alto Networks,
  for the report.

- Fix that dump_cache has a larger buffer for records,
  and it checks that an owner name does not collide with BADRR
  on the input, and changes verbosity on the log of failure in
  rrset to string.  Thanks to Qifan Zhang, Palo Alto Networks,
  for the report.

- Fix that validation canonicalization of domain names
  in rdata checks for buffer bounds. Thanks to Qifan Zhang,
  Palo Alto Networks, for the report.

- Fix fast_reload for when a ZONEMD lookup is in progress.
  Thanks to Qifan Zhang, Palo Alto Networks, for the report.

- Fix negative cache NSEC3 nodata proof, to use the correct
  message size. Thanks to Qifan Zhang, Palo Alto Networks,
  for the report.

- Fix PROXYv2 header read and consume, it checks the header
  size. Thanks to Qifan Zhang, Palo Alto Networks for
  the report.

- Fix ipset module to use larger domain name buffers, and
  check buffer lengths. Thanks to Qifan Zhang, Palo Alto
  Networks for the report.

- Fix that quotation and escaping works the same in auth-zone
  url content, as in the zonefile read. Thanks to Qifan Zhang,
  Palo Alto Networks for the report.

- Fix parse of svcbparam ech, it had incorrect length. Thanks
  to Qifan Zhang, Palo Alto Networks for the report.

- Fix const as reported by newest compiler warnings.

- Fix negative cache to work with NSEC3 records without salt.
  Thanks to Xin Wang, Jiapeng Li, and Jiajia Liu, Northwestern
  Polytechnical University, for the report.

- Fix that the processing of class responses does not have
  a heap use-after-free. That could happen if at least two
  distinct classes are configured for resolution. Thanks
  to Qifan Zhang, Palo Alto Networks for the report.
  In addition, thanks to Xin Wang, Jiapeng Li, and Jiajia
  Liu, Northwestern Polytechnical University, for also
  reporting this.

- Fix unit test to check for new icannbundle.pem.

- Update icannbundle.pem certificates in unbound-anchor. It
  has the public keys for 2009 to 2029 and for 2025 to 2045.

- iana portlist updated.

- Fix header_seen detection for trust anchor files, so that it
  detects the id line.

- Fix #1457: race condition causes segfault when starting
  threads.

- Fix analyzer warning in mesh_new_client.

- Fix that validator caps number of ANY RRsets it can
  validate, and the wait timer is shortened. Thanks to Qifan
  Zhang, Palo Alto Networks, for the report.

- Fix ipset module for name too long checks, race conditions
  on local name buffer, and for socket close race condition.
  Thanks to Qifan Zhang, Palo Alto Networks, for the report.

- Fix that dns64 with subnetcache does not write ECS scoped
  answers to global cache. Thanks to Qifan Zhang, Palo Alto
  Networks, for the report.

- Fix, in depth, for respip rewrite of dns64 responses. Thanks
  to Qifan Zhang, Palo Alto Networks, for the report.

- Fix manual to document ratelimit, that it is for target
  nameservers for a domain, and keeps queries limited. Thanks
  to Qifan Zhang, Palo Alto Networks, for the report.

- Fix to decrement the per-netblock tcp connection limits, so
  it keeps usable. Thanks to Qifan Zhang, Palo Alto Networks,
  for the report.

- Fix to reset the tcp-timeout before applying a load based
  reduction. Thanks to Qifan Zhang, Palo Alto Networks, for the
  report.

- Fix that msgencode insert_query has the correct assertion,
  for a local_alias. Thanks to Qifan Zhang, Palo Alto Networks,
  for the report.

- Fix that the ratelimit is decremented on successful
  referrals. Thanks to Qifan Zhang, Palo Alto Networks, for
  the report.

- Fix to limit the DSNS per-label walk in the iterator. Thanks
  to Qifan Zhang, Palo Alto Networks, for the report.

- Fix for autotrust state-file line overflow, that can give
  hold-down bypass. Thanks to Qifan Zhang, Palo Alto Networks,
  for the report.

- Fix for mesh new client and mesh new callback to rollback the
  added address, tcp mesh state and callback when there is a failure
  to initialize. This fixes the mesh accounting of reply addresses.
  Thanks to Xin Wang, Jiapeng Li, and Jiajia Liu, Northwestern
  Polytechnical University, for the report

- Fix for signed same-owner CNAME and ordinary RRset responses.
  Thanks to Xin Wang and Jiajia Liu, Northwestern Polytechnical
  University, for the report.

- Fix cleaning up DoH session. The same query can be on multiple
  streams in a session. Thanks to Qifan Zhang, Palo Alto Networks,
  for the report.

- Fix lame server detection, for selfpointed glue records.
  Thanks to Shuhan Zhang, Dan Li, and Baojun Liu from Tsinghua
  University for the report.

- Fix in depth for serve-expired responses from cachedb, that it
  does not store bogus. Thanks to Qifan Zhang, Palo Alto Networks,
  for the report.

Remove the debug file.

- Unit test for CVE-2026-44390.

- Unit test for CVE-2026-42960.

- Unit test for CVE-2026-40622.

- Unit test for CVE-2026-42959.

- Unit test for CVE-2026-42944.

- Unit test for CVE-2026-33278.

- Tag for 1.25.1 release, it contains the security fixes on 1.25.0.
  the code repository continues with in addition the previous fixes,
  for 1.25.2.

Merge branch 'branch-1.25.1'

- Fix CVE-2026-44608, Use after free and crash in RPZ code. Thanks
  to Qifan Zhang, Palo Alto Networks, for the report.

Changelog entry.
- Fix CVE-2026-44390, Unbounded name compression in certain cases
  causes degradation of service. Thanks to Qifan Zhang, Palo Alto
  Networks, for the report.

- Fix CVE-2026-44390, Unbounded name compression in certain cases
  causes degradation of service. Thanks to Qifan Zhang, Palo Alto
  Networks, for the report.

- Fix CVE-2026-42960, Possible cache poisoning attack while following
  delegation. Thanks to TaoFei Guo from Peking University, Yang Luo
  and JianJun Chen, Tsinghua University, for the report.

- Fix CVE-2026-42923, Degradation of service with unbounded NSEC3
  hash calculations. Thanks to Qifan Zhang, Palo Alto Networks, for
  the report.

- Fix CVE-2026-42534, Jostle logic bypass degrades resolution
  performance. Thanks to Qifan Zhang, Palo Alto Networks, for the
  report.

- Fix CVE-2026-41292, Parsing a long list of incoming EDNS options
  degrades performance. Thanks to GitHub user 'N0zoM1z0', also Qifan
  Zhang from Palo Alto Networks, for the report.

- Fix CVE-2026-40622, "Ghost domain name" variant. Thanks to Qifan
  Zhang, Palo Alto Networks, for the report.

- Fix CVE-2026-32792, Packet of death with DNSCrypt. Thanks to Andrew
  Griffiths from 'calif.io' for the report.

- Fix CVE-2026-42959, Crash during DNSSEC validation of malicious
  content. Thanks to Qifan Zhang, Palo Alto Networks, for the report.

- Fix CVE-2026-42944, Heap overflow and crash with multiple nsid,
  cookie, padding EDNS options. Thanks to Qifan Zhang, Palo Alto
  Networks, for the report.

- Fix CVE-2026-33278, Possible remote code execution during DNSSEC
  validation. Thanks to Qifan Zhang, Palo Alto Networks, for the report.

Set version to 1.25.1 for release.

- Fix for mixed class referrals, the resolver uses the query
  class. Thanks to Xin Wang and Jiajia Liu, Northwestern
  Polytechnical University, for the report.

- Fix DNSKEY size calculation for noncanonical RSA DNSKEYs
  with leading zeroes for n. Thanks to Xin Wang and Jiajia Liu,
  Northwestern Polytechnical University, for the report.

- Fix DNSSEC validation with libnettle for noncanonical RSA
  DNSKEYs with leading zeroes for n. Thanks to Xin Wang and
  Jiajia Liu, Northwestern Polytechnical University, for
  the report.

- Fix for allocation-failure hardening of rrset cache wildcard
  storage and canonical NSEC owner replacement. Thanks to Xin
  Wang and Jiajia Liu, Northwestern Polytechnical University,
  for the report.

- Fix that for dns64 answers, the AAAA query is checked to be
  DNSSEC validated, when DNSSEC is enabled. This improves
  the RFC6147 conformance of Unbound. Thanks to Xin Wang
  and Jiajia Liu, Northwestern Polytechnical University, for
  the report. In addition, thanks to Qifan Zhang, Palo Alto
  Networks, for reporting it.

- Fix val_find_DS for robustness, to check the result of
  packet_rrset_copy_region before using it. Thanks to Xin Wang
  and Jiajia Liu, Northwestern Polytechnical University, for
  the report.

Merge branch 'master' of github.com:NLnetLabs/unbound

- Fix man page entry for so-sndbuf, it is for responses sent out.

- Fix another comment for EDNS fallback buffer size.

- Fix comment and verbose logging for EDNS fallback buffer size.

- Fix to relax assertions after the TTL 0 handling change.
  This relaxes an assertion in cachedb (it fails instead),
  and for packet_rrset_copy_region.

- Fix to clean up log ids after a failure to start a worker thread.

- Fix for Heap Out-of-Bounds Write via size_t-to-int Truncation
  in setup_if() - outside_network_create(). This fixes that
  large values for num_ports do not overflow and create
  invalid references after integer truncation. Thanks
  to Karnakar Reddy (@karnakarreddi) for the report.

- iana portlist updated.

- Fix windows 64bit build for libssp dependency.

- tag for 1.25.0. The code repository continues with 1.25.1 in
  development.

- For #1441: Fix type of ipv6 addr struct.

Changelog entry for #1441.
- Merge #1441: Fix buffer overrun in
  doq_repinfo_retrieve_localaddr().

Fix buffer overrun in doq_repinfo_retrieve_localaddr() (#1441)

- Fix doxygen comment syntax.

- Set version number to 1.25.0 of code repository.

- Fix handling of wildcard CNAMEs in the chain of trust.
  An improper wildcard in the chain of trust would send
  the retries to the wrong upstream. Also it could label
  the step in the chain of trust as secure, when it was not.
  Thanks to Qifan Zhang, Palo Alto Networks for the report.

- Fix that a DNAME with an unsigned CNAME is checked for
  the correct match. This stops that for certain zone
  configurations an unchecked unsigned CNAME could get
  secure status. Thanks to Qifan Zhang, Palo Alto Networks
  for the report.

- Fix that signatures are not allowed with revoked dnskeys.
  Thanks to Qifan Zhang, Palo Alto Networks for the report.

- Fix that upstream TLS connections are not reused as TLS
  connections for a different name, at the same IP. This
  checks that the tls name is correct when reusing the
  upstream connections. Thanks to TaoFei Guo from Peking
  University and JianJun Chen from Tsinghua University for
  the report.

- Fix for missing bounds check for decompressing dnames
  for downloaded authority zones. This fixes that the server
  could end up with malformed zone content after receiving
  truncated packet contents from an AXFR. In addition, the
  domain names in the SOA rdata are checked before the
  authority code picks up the zone serial.
  Thanks to Halil Oktay for the report.

- Fix for iterator RCODE handling of YXDOMAIN. This fixes
  that the server only accepts YXDOMAIN answers that contain
  a DNAME record. This stops bad answers, and checks that
  the authoritative server gives correct replies.
  Thanks to Qifan Zhang, Palo Alto Networks for the report.

- Fix EDNS extended RCODE reflection. This fixes that
  the server does not echo extended rcode values after class
  chaos queries. Thanks to Qifan Zhang, Palo Alto Networks
  for the report.

- Fix for the Jiggle Attack. The server is fixed to answer
  with errors for error cases, and does not stay silent.
  In addition, the error replies do not contain parts of the
  incoming query. This is more conformant, stops reflection
  and stops it as a covert channel. Thanks to Yuqi Qiu and
  Xiang Li, Nankai University (AOSP Lab) for the report.
  In addition, thanks to Qifan Zhang, Palo Alto Networks, for
  noting the fingerprinting possibility, that is also fixed
  with this.

- Add test case for malformed SVCB records. Thanks to
  Qifan Zhang, Palo Alto Networks for the additional test.

- Fix test with https zone for libressl.

- Fix unused variable warning when compiled without ssl.

- Fix compile warnings for thread setname routine, and test compile.

- Fix pthread_setname detection to fail on warnings.

- Update generated configure, with autoconf.

- Update generated man pages.

Changelog entry for #1400:
- Merge #1400: Support pthread_setname_np.

Merge branch 'features/pthread-setname'

- Fix subnet store of servfail to not leak memory.

- Fix ttl comparisons in rdata_copy for 32bit signed or unsigned.

- Fix to increase size of the buffer for the win_svc reportev log
  function.

- Fix compat/gmtime_r old style definition syntax.

- Fix compat/chacha_private sigma and tau definitions to use
  nonstring attribute.

- Update github ci cross platform to use
  cross-platform-actions/action@v1.0.0.
- Fix github ci to speed up with parralel build, for windows ci.