feat(pdnsutil): Warn when NSEC3 iterations or salt are non-BCP

Closes: #16212

Merge pull request #16257 from zeha/typo

Fix typo in ipv{4,6}hints comment

Merge pull request #16256 from rgacogne/ddist-lua-versions-meson

dnsdist: Allow selecting a specific version of Lua with meson

Merge pull request #16258 from omoerbeek/rec-cook-test-fix

rec: fix test_Cookies spurious error

Merge pull request #16220 from omoerbeek/move-pb-trace-test

Move test-protozero-trace.cc to toplevel and add it in the autotools build where it was missing

Merge pull request #16217 from rgacogne/sbom-purls

dnsdist: Add package urls to our SBOMs

Merge pull request #16219 from omoerbeek/contrib-pblogger-hex

ProtobufLogger: print OpenTelemetry IDs in hex, add proper command arg parser

rec: fix test_Cookies spurious error

With some bad luck, all requests went to .26, it that case .25 will
not be marked as Supported. So be happy if at least one of the
target IPs is marked as Supported.

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Fix typo in ipv{4,6}hints comment

Signed-off-by: Chris Hofstaedtler <chris.hofstaedtler@deduktiva.com>

Merge pull request #15550 from zeha/svcb

Support new SVCB parameters: ohttp, dohpath, tls-supported-groups

Merge pull request #16013 from Habbie/sha1hed

update keyblocks with non-SHA1 signing keys

Merge pull request #16254 from rgacogne/ddist-quic-freebsd-any

ComboAddress: Fix "unspecified address" test when the port is set

Merge pull request #16253 from Habbie/sdist-fix

auth sdist: include additional files/dirs

test-iputils_hh.cc: Appease clang-tidy

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Allow selecting a specific version of Lua with meson

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

iputils: Make static addresses static in `ComboAddress::isUnspecified`

Prevent having to instantiate them again and again, as suggested by
Otto.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16244 from rgacogne/ddist-dnsheader-timeout-response

dnsdist: Set up the dns header for timeout response rules

ComboAddress: Fix "unspecified address" test when the port is set

This fixes the QUIC issue reported on FreeBSD: the frontend
was not considered to be bound to an `ANY`/unspecified address
because the port was set, causing the address selection address
to fail.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16209 from miodvallat/declined_to_comment

pdnsutil: fix b2b-migrate to from sql to non-sql

Merge pull request #16251 from omoerbeek/rec-rust-warning

rec: silence rust warning

Merge pull request #16213 from miodvallat/tertiary

auth: fix a secondary domain type check in bind backend

In zone copy, proceed anyway if --force even if target doesn't support comments.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16243 from miodvallat/meet_your_maker

auth: remove and delete dead code which turns out to be dead and also not alive

Merge pull request #16240 from miodvallat/lua_and_order

auth: boring changes to lua backend

auth sdist: include additional files/dirs

Signed-off-by: Peter van Dijk <peter.van.dijk@powerdns.com>

dnsdist: Don't choke on invalid DNS payload when generating protobuf messages

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Properly zero-initialize the "fake" DNS header

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Set up the dns header for timeout response rules

Response actions expect that there is a DNS payload containing at
least a DNS header, as an incoming packet smaller than a DNS header
would have been discarded early in the processing path.
Unfortunately this is not true for timeout response rules, where we
no longer have the DNS payload from the query and obviously don't
have a response either. This commit restores a DNS header from the
information we have (query ID, flags) so that most actions can
proceed normally.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16123 from pieterlexis/dnsdist-ipcrypt-16110

dnsdist: Add IPCrypt2 PFX to Remote(Response)LogAction

Merge pull request #16215 from romeroalx/fix-pip-name-normalization

gh actions - misc-dailies: fix test that validates hashes of Python packages

Merge pull request #16245 from miodvallat/matriochka_exception

auth: yet another logic botch

Appease clang-tidy

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

In getUpdatedPrimaries(), parse zone name first.

Otherwise, if another field is not parsed correctly, we risk triggering
another exception while attempting to use the unset zone name in the
error report.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16242 from rgacogne/ddist-xsk-large-payload

dnsdist: Fix handling of large XSK frames

dnsdist: Fix handling of large XSK frames

There was a bug in the way we were computing the remaining capacity
of a XSK frame, because we forgot to account for the network headers.
This caused some XSK responses to be discarded by the kernel (`tx_invalid_descs`)
because there was not enough space left in the frame (less than
`XDP_PACKET_HEADROOM`).

Thanks to `ednaq` for reporting this via ou YesWeHack program.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Remove leftover DNSBackend::maker() routines.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16241 from rgacogne/ddist-round-robin-atomic

dnsdist: Make the round-robin LB policy internal counter atomic

dnsdist: Make the round-robin LB policy internal counter atomic

Otherwise TSAN is rightfully complaining that there is a data race
because several threads are updating at the same time. While the
impact of this counter being corrupted is almost zero, and there is
an actual overhead to making it atomic, I believe this is the only
correct way to ensure the expected behaviour of this policy.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16239 from hhoffstaette/roundrobin-fastpath

dnsdist: add fast path to roundrobin load balancing policy

Merge pull request #16238 from rgacogne/ddist-fix-crash-handling-timeout

dnsdist: Properly handle exceptions when processing timeout rules

Expand the logCall and logResult macros.

They are in the way of structured logging and can't remain in this form.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Clearance sale on {} brackets, which clang-tidy will require eventually.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

dnsdist: add fast path to roundrobin load balancing policy

There is no need to collect all servers that are up when the current
server is already a good candidate. This avoids needless heap allocation
and deallocation in the vast majority of cases.

Signed-off-by: Holger Hoffstätte <holger@applied-asynchrony.com>

Merge pull request #16236 from jsoref/indent-list

docs: Indent list

Merge pull request #16237 from jsoref/add-period

docs: Add trailing period

Merge pull request #16235 from horazont/fix/doc-dnssec-link-algo-rollover

docs: link algorithm rollover from DNSSEC operational instructions

Merge pull request #16233 from horazont/fix/doc-dnssec-soa-edit-notes

docs: fix markup for list of "Important Notes"

docs: Add trailing period

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

docs: Indent list

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

docs: link algorithm rollover from DNSSEC operational instructions

I probably would've missed it anyway, because that section of the
document has strong "motivational / introductory text" vibes which make
my brain auto-skip it, but at least there's a chance now.

Signed-off-by: Jonas Schäfer <jonas@zombofant.net>

docs: fix markup for list of "Important Notes"

This had me confused while reading, because the list wasn't rendered as
list (but as a paragraph) and I wondered why starting with 00 would
increase the chance of overflow...

Signed-off-by: Jonas Schäfer <jonas@zombofant.net>

rec: silence rust warning

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16231 from omoerbeek/rec-unit-test-test

ci: Check return status of rec unit test run when using meson

Merge pull request #16227 from omoerbeek/unkeep-keeper-in-rec

Do not include dnsseckeeper.hh and ueberbackend.hh  in rec

dnsdist: Properly handle exceptions when processing timeout rules

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Check return status of rec unit test run when using meson

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Explicitly include file for openssl version number

Co-authored-by: Miod Vallat <miod.vallat@powerdns.com>
Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16225 from miodvallat/a_ldap_oddity

auth: logic botch in ldap backend

Merge pull request #16226 from miodvallat/ldap_punk

auth: remove dead ldap code

Fix test-signers: if there's no ref to OpenSSL it fails

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16224 from rgacogne/ddist-xsk-typo-doc

dnsdist: Fix a typo in the XSK documentation

Merge pull request #15924 from rgacogne/ddist-refactor-server-pools

dnsdist: Refactor server pools and load-balancing policies

Correctly handle reconnection in several routines.

If the search failed with a LDAPNoConnection exception and reconnection
is successful, we would recurse to reiterate the operation, but then would
proceed with the exist logic operating on uninitialized data.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Remove long deprecated and/or unused code.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

dnsdist: Add actual link to `newServer` in the XSK docs

Co-authored-by: Miod Vallat <miod.vallat@powerdns.com>
Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

auth/rec: seperate out dnssec constants from DNSSECKeeper by moving them to a DNSSEC class

This allows not having ueberbackend.hh in rec, it makes no sense including that file in rec

A bit of churn in rec, but all mechanical

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16223 from miodvallat/doctweaks

auth: minor doc tweak

Mention that unix socket support for webserver-address requires 5.0.

Fixes: #16222
Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Move test-protozero-trace.cc to toplevel and add it in the autotools build where it was missing

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

protobuf logger: print opentelemetry id's in hex, implement proper arg parser

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

dnsdist: Add package urls to our SBOMs

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Yet another clang-tidy fix

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Fix a typo in the XSK documentation

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Appease clang-tidy

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Fix typo

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

spell-check: Remove 'splitsetup'

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Add regression tests for Lua pool bindings

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Remove a very outdated example of how to do split-setup

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Apply suggestions from code review

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Document the new behaviour for custom LB policies written in Lua

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Fix CodeQL warnings

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Simplify the least outstanding policy

The servers can no longer be updated under our feet, so we only need
one pass.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Refactor load-balancing policies

Since we no longer need to increase the reference counter of the
returned backend (the runtime configuration cannot be updated be
updated under our feet anymore), we can return the position of the
selected backend in the initial array instead, significantly
reducing the performance cost of the load-balancing policies.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Only set the DNSQuestion packet cache after a cache miss

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Server pools are no longer ref counted

Since the refactoring of the runtime configuration, the content of
a Server Pool is now in effect immutable, we have to create a new
copy and update it, so we no longer have to lock and reference count
Server Pools and their content.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16191 from rgacogne/ddist-test-meson-dist

build-and-test-all: Build dnsdist and recursor via a release tarball

gh actions - misc-dailies: fix pip name normalization when validating hashes

Fix a secondary domain type check.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16205 from rgacogne/ddist-fix-settag-dynblock-doc

dnsdist: The dynamic block tag name is set via `tagName`, not `tagKey`

When copying/migrating zones, only complain about comments if there are any.

Fixes: #16201
Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #15929 from miodvallat/cement

grow auth source tarballs fatter

test: Add IPCrypt2 tests

Merge pull request #16204 from omoerbeek/rec-fix-dist

rec: we need a usable cargo for sdist so do not download (and install) rust but use package

chore: Switch from string to sockaddr for ipcrypt

feat(dnsdist): Add IPCrypt2 PFX to tests

Signed-off-by: Pieter Lexis <pieter.lexis@powerdns.com>

feat(dnsdist): Add IPCrypt2 PFX mode to RemoteResponseLogAction

Signed-off-by: Pieter Lexis <pieter.lexis@powerdns.com>

feat(dnsdist): Add IPCrypt2 PFX mode to RemoteLogAction

Signed-off-by: Pieter Lexis <pieter.lexis@powerdns.com>

feat: import ipcrypt2 library

This corresponds to release 1.1.8 in https://github.com/ipcrypt-std/ipcrypt2

Signed-off-by: Pieter Lexis <pieter.lexis@powerdns.com>

rec: Fix "Avoid generating doc files in a sdist based build" check in out-of-tree builds

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

build-and-test-all: Test rec release tarball via meson instead of autotools

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>