- Document the suggestion for a higher value for 'outgoing-range';
  helps when the request list is full.

Changelog entry for #1415
- Merge #1415: Add lock unlock for view in memory error handling.

Add lock unlock for view in memory error handling (#1415)

view->lock would be skipped during an out of memory error bailout.

- Update generated man pages.

- Fix for DNS Rebinding Bypass via SVCB/HTTPS Records in Unbound.
  Thanks to Kunta Chu, School of Software, Tsinghua University,
  Taofei Guo, Peking University, and Jianjun Chen, Institute for
  Network Sciences and Cyberspace, Tsinghua University for the
  report. The private-address option is fixed to also elide
  SVCB and HTTPS records that match the filter.

- For #1411: Introduce a failing case in the rpl test so that it only
  passes with the fix in place.

- For #1411: Fix that the lookup for DNAME uses flag. Fix assertion
  in expired calc debug routine.

For #1411, fix up doc/Changelog.

Allow synthesized DNAME TTL=0 to be served from cache within grace period (#1411)

* Allow synthesized DNAME TTL=0 to be served from cache within grace period

Addresses doc/TODO: cache TTL=0 packets properly for synthesis.
- rrset_cache_lookup: allow TTL=0 DNAME within 1s grace for synthesis
- synth_dname_msg: support PACKED_RRSET_UPSTREAM_0TTL, return TTL=0 to client

Reduces recursion when authoritative servers return DNAME with TTL=0 (RFC 2308).
Client response still correctly returns TTL=0.

Note: Test with proper TTL=0 DNSSEC RRSIGs omitted - requires ldns-signzone
to generate valid signatures for TTL=0 RRsets.

* Add iter_dname_ttl0.rpl replay test for DNAME TTL=0
Tests signed DNAME with TTL=0 and RRSIG Original TTL=0 (RFC 4034).
Verifies end-to-end handling of TTL=0 DNAME responses.

- Update generated man pages.

For #1409: Changelog entry and more text.

Documentation CNAME in redirect-type local-zone (#1409)

- Fix validator to set unchecked when validation recursion
  requests are passed. The edns subnet module checks if validation
  is needed for a cache response, and set the validator to protect
  the cache with validation for non-subnet lookups.

- Fixed some typos reported in #1395 by rezky_nightky.

- Fix to disallow cache lookup/store in external cachedb when a
  forwarder/stub forbids it with the no-cache option.

- Fix to make the cachedb_val_expired.crpl succeed.

- Fix to have cachedb not return expired bogus data as non-bogus.

- For #1405: local-zone always_refuse also blocks queries of type DS.

- Fix to remove unused conditional from cookie timestamp at
  worker env.

- Fix that cachedb aggressive negative responses have the RA flag set.

- Fix #1404: Priming the root key fails after loading ipfire.org RPZ
  zones. Fixed by including the ZONEMD RRtype in the list of types to
  ignore for RPZ zones. Analysis and patch provided by ummeegge.

- Fix #1403: Inconsistency between do-nat64 and do-not-query-address
  during retries.

- Update generated man pages.

Changelog note and documentation for #1401.
- Merge #1401: Add a new build-time option for system TLS.
  The --enable-system-tls flag enables the
  tls-use-system-policy-versions setting by default.

Add a new build-time option for system TLS (#1401)

We want to use crypto-policy provided configuration always in our
builds. Allow changing the default of tls-use-system-policy-versions at
build time by a simple configure parameter.

- Fix #1389: [FR] replacement with ECC-GOST12 according to RFC9558.
  Patch contributed by Igor V. Ruzanov, available in
  contrib/gost12.patch.

- Support pthread_setname_np, and variants, to set the name on spawned
  threads for easier debugging/monitoring.

Fix attribution of fix.

- Fix local privilege escalation on Windows. Thanks to Hao Huang
  for the report. The OpenSSL init calls are set to not load
  the openssl.cnf file when compiled for Windows.

- Eagerly remove .skip mark files in between mini_tdir.sh runs in case
  there has been a change on the environment.

- Add test for allow-notify with a host name.

- Fix to not skip allow-notify hostname lookups when there are only
  urls.

Merge branch 'master' of github.com:NLnetLabs/unbound

- Fix that allow-notify entries with hostnames are copied after IPv4
  and IPv6 lookup.

- Update generated man pages.

Changelog entry for #1396:
- Merge #1396: Log Linux thread ID.
- On Linux systems log the system-wide unique thread ID instead of
  Unbound's internal thread counter.
- Introduce the 'log-thread-id' configuration option to manage logging
  the system-wide Linux thread ID for easier debugging with system
  tools.

Merge pull request #1396 from NLnetLabs/features/thread-id

- Introduce the 'log-thread-id' configuration option to manage logging
  the system-wide Linux thread ID for easier debugging with system
  tools.

- On Linux systems log the system-wide unique thread ID instead of
  Unbound's internal thread counter.

- Fix http test tool petal to not print errors when there is no
  error.

- Fix that fast reload copies the iter_scrub_ns, iter_scrub_cname
  and max_global_quota options.

- Merge #1388: QNX Porting support for unbound.

QNX Porting support for unbound branch-1.24.1 (#1388)

* qnx Porting support for version release-1.24.1

* updating __QNXNTO__ with __QNX__

- Merge #1392: Include "V" (version) option in synopsis.

Include "V" (version) option in synopsis (#1392)

- Fix documentation for requestlist.overwritten and
  requestlist.exceeded, it explains which query was dropped.

Compile fixup for #1381.

Changelog note for #1381, and man page explanation.
- Merge #1381: Do not initialize quic_table unless it is enabled.

Do not initialize quic_table unless it is enabled (#1381)

* Do not initialize quic_table unless it is enabled

Fedora in FIPS mode might fail to initialize ngtcp2 library, because
some ciphers desired are not available.

Make it possible to skip initialization by setting explicitly quic_port
to 0. Unless we have some listeners for port 853 configured, skip its
initialization as well.

Related: https://pagure.io/freeipa/issue/9877

* Fix typo in logged function name

Changelog entry for #1391:
- Merge #1391 from Götz Görisch: Fix documentation to adhere to
  RFC5952.

Merge pull request #1391 from GoetzGoerisch/docs

Fix documentation to adhere to RFC 5952

Fix documentation to adhere to RFC 5952

Update the text representations of IPv6 addresses.

- Fix edns subnet, that scope zero queries, when there is a
  subquery without subnet, and the forward-no-cache or
  stub-no-cache option is set, it is not stored in cache due to
  the forward or stub option.
This has the changelog entry and test.

- Fix edns subnet, that scope zero queries, when there is a
  subquery without subnet, and the forward-no-cache or
  stub-no-cache option is set, it is not stored in cache due to
  the forward or stub option.

- Use the same EDE removal logic when encoding errors as when encoding
  replies.

- Update the unbound-anchor man page to note write permissions of the
  generated file if it is to be used with Unbound's
  auto-trust-anchor-file option.

- Mark "THROWAWAY" and "(DNSSEC) LAME" responses clearly as Unbound's
  categorization in the log output.

- More specific wording in the unbound.conf man page for stub-first
  and forward-first options.

- Fix http2 drop handling to clear the postpone_drop state so that
  other streams on the http2 session are not affected by a drop,
  and can clean up properly if also dropped. Fix http2 send reply
  so that when there is a send failure is does not recurse into
  the mesh functions and also does not drop the connection due to
  the condition of one stream.

- Fix to remove http2 stream mesh state when mesh new request is
  dropping the new request.

- Fix header comment about EDE reference in validator/val_sigcrypt.h.

- Fix to add EDNS CO flag to testbound and debug message log.

- For #1375, there is no DNSTAP environment if it wasn't configured.

- Tag for 1.24.2 release.
  The repository continues with version 1.24.3.

Merge branch 'branch-1.24.2'

- Additional fix for CVE-2025-11411 (possible domain hijacking attack),
  to include YXDOMAIN and non-referral nodata answers in the mitigation as
  well, reported by TaoFei Guo from Peking University, Yang Luo and JianJun
  Chen from Tsinghua University.

- Set version to 1.24.2.

Changelog note for #1375, and lock for lockchecks and ifdef for compile fix.
- Merge #1375: Copy DNSTAP changes from daemon to workers after
  fast_reload.

Copy DNSTAP changes from daemon to workers after fast_reload (#1375)

- On fast_reload, the identity and version strings are always freed and
  reallocated as part of dt_apply_cfg(). Add fr_worker_pickup_dnstap_changes()
  to copy any changes from daemon to workers.

Changelog note for #1374
- Merge #1374: Mesh reply counters.
  This adds the statistics num.queries.replyaddr_limit and
  requestlist.current.replies.

Mesh reply counters (#1374)

* Statistics counter for number of queries dropped by limit on reply addresses

Request list entries can be associated with multiple pending "reply
addresses". Basically each request list entry keeps its own list of
clients that should receive the response once the recursion is finished.
This requires keeping allocations around for each client, and there is
a global limit on the number of *additional* reply addresses that can
be allocated. (Each new request list entry seems to get its own initial
reply address which is not counted against the limit.)

This commit adds a statistics counter "num_queries_replyaddr_limit" that
counts the number of incoming client queries that have been dropped due
to the restriction on allocating additional reply addresses. This allows
distinguishing these drops from other kinds of drops.

* Statistics counter for number of mesh reply entries

Request list entries can be associated with multiple pending "reply
addresses". Since there is a limit on the number of additional reply
addresses that can be allocated which can cause incoming queries to be
dropped if exceeded, it would be nice to be able to track this number.

This commit basically exports the mesh_area's internal counter
`num_reply_addrs` as "threadX.requestlist.current.replies" /
"total.requestlist.current.replies".

- iana portlist updated.

- Fix that when discard timeout drops packet, they are accounted as
  less reply addresses in use in the mesh area.

- Fix configure test for nonstring attribute so that it does not
  accept when the compiler prints a warning about an unknown
  attribute.

- Fix configure test for noreturn attribute so it compiles without
  warning.

- Fix add comment to worker_handle_request function that explain it.

- Fix dns64 log output to log the default instead of a null string.

- Fix #1366: Infra cache does not work correctly for NAT64, by
  moving the NAT64 synthesis from the iterator when selecting a target
  address, to the delegation point itself when adding target
  addresses.

- Fix typo; spotted by T3rm1.

- Fix #1165, document the possible circular dependency when using
  host names instead of IP addresses for name servers in stub/forward
  zones and log a warning when spotted in the configuration.

Changelog entry for #1331:
- Merge #1331 from Jitka Plesníková: Replace deprecated $function by
  new $action, for SWIG.

Merge pull request #1331 from jplesnik/master

Replace deprecated $function by new $action

- For #1364, use OPENSSL_VERSION_TEXT instead of OPENSSL_VERSION_NUMBER
  for part of the configure script. OPENSSL_VERSION_TEXT is more
  consistent across versions.

- Fix unused attribute warning in redis.c when threads are not
  supported.

- Note Havard Eidnes for his suggestions on the mailing list.

- unbound.conf man page updates to include a preview of the section
  clauses and some reformatting around the use of "clause", "option"
  and "attributes".

- Tag for 1.24.1 release.
  The repository continues with version 1.24.2.

Merge branch 'branch-1.24.1'

- Fix CVE-2025-11411 (possible domain hijacking attack), reported by Yuxiao Wu,
  Yunyi Zhang, Baojun Liu and Haixin Duan from Tsinghua University.

- Set version to 1.24.1.

- Update the unbound.conf online man page link and some text
  reformatting in README.md.

Fix for analysis and ports workflows iOS, Windows (#1361)

* - Remove SDK_VERSION and only run failed jobs, echo windows config.log

* Use commented out to fix syntax of ci.

* - Turn off succeeded tests, only link libssp for cross compile, use
no-shared for openssl ios.

* - Remove iPhone armv7s, and iPhoneSimulator i386 from ios ci.
  The lib system does not provide symbols for it on the new macos
  runner.
- Fix to exclude libssp for windows compiles.

- Fix unbound.conf man page entry for root-hints to say it can
  be used without strongly recommending it.

- Remove extra gpg instructions from makedist.sh output.

- ci: don't fail fast for the analysis_port workflow.

Update ios ci with older sdk version to use.

- Fix to update openssl version in ios ci.

- Add extended dns error code for invalid query type to definition
  list.

- Fix to reply with SERVFAIL when the wait-limit is exceeded.

- Fix to drop UDP for discard-timeout, but not stream connections.