Merge branch '1011-use-proper-linker-config-on-hp-ux' into 'master'

Resolve "Use proper linker (config) on HP-UX"

Closes #1011

See merge request isc-projects/bind9!1940

regen

add link flags for ia64-hp-hpux

Merge branch '996-revert-wrong-key-id-is-displayed-for-rsamd5-keys' into 'master'

Revert "Merge branch '996-wrong-key-id-is-displayed-for-rsamd5-keys' into 'master'"

Closes #996

See merge request isc-projects/bind9!1981

Revert "Merge branch '996-wrong-key-id-is-displayed-for-rsamd5-keys' into 'master'"

This reverts commit ea131d2e6a937964b65b9ccc4cd3f18de9f6d09f, reversing
changes made to e79dd268b6fb36b897a3258cdf959d87f60e55e0.

Merge branch '855-json-c-library-detection-in-autoconf' into 'master'

Cleanup the way we detect json-c library to use only pkg-config

Closes #855

See merge request isc-projects/bind9!1473

Add CHANGES and release notes

Cleanup the way we detect json-c library to use only pkg-config

Merge branch '1044-fix-LFS-flags-on-BSDs' into 'master'

Pull the values for LFS_{CFLAGS,LDFLAGS,LIBS} from autoconf instead using them directly in make

Closes #1044

See merge request isc-projects/bind9!1978

Pull the values for LFS_{CFLAGS,LDFLAGS,LIBS} from autoconf instead using them directly in make

Merge branch 'michal/legacy-system-test-fixes' into 'master'

"legacy" system test fixes

See merge request isc-projects/bind9!1968

Optimize dig parameters to decrease test run time

Performing server setup checks using "+tries=3 +time=5" is redundant as
a single query is arguably good enough for determining whether a given
named instance was set up properly.  Only use multiple queries with a
long timeout for resolution checks in the "legacy" system test, in order
to significantly reduce its run time (on a contemporary machine, from
about 1m45s to 0m40s).

Make "plain" server setup checks more similar

Send a test TCP query to the "plain" server during its setup check to
improve its consistency with the setup check for the "plain + no TCP"
server.

Add more EDNS checks for dig output files

In the "legacy" system test, in order to make server setup checks more
consistent with each other, add further checks for either presence or
absence of the EDNS OPT pseudo-RR in the responses returned by the
tested named instances.

Do not ignore dig exit codes

Make sure the "legacy" system test fails if any exit code returned by
dig does not match the expected one.

Use helper functions for checking resolution

Extract repeated dig and grep calls into two helper shell functions,
resolution_succeeds() and resolution_fails(), in order to reduce code
duplication in the "legacy" system test, emphasize the similarity
between all the resolution checks in that test, and make the conditions
for success and failure uniform for all resolution checks in that test.

Use +dnssec instead of separate TXT records

When testing named instances which are configured to drop outgoing UDP
responses larger than 512 bytes, querying with DO=1 may be used instead
of querying for large TXT records as the effect achieved will be
identical: an unsigned response for a SOA query will be below 512 bytes
in size while a signed response for the same query will be over 512
bytes in size.  Doing this makes all resolution checks in the "legacy"
system test more similar.  Add checks for the TC flag being set in UDP
responses which are expected to be truncated to further make sure that
tested named instances behave as expected.

Fix the name of the file to inspect

One of the checks in the "legacy" system test inspects dig.out.1.test$n
instead of dig.out.2.test$n.  Fix the file name used in that check.

Ensure queries expected to time out really do

Make sure that the "legacy" system test fails if queries which are
expected to time out do not really time out.

Properly test servers with TCP support disabled

Sending TCP queries to test named instances with TCP support disabled
should cause dig output to contain the phrase "connection refused", not
"connection timed out", as such instances never open the relevant
sockets.  Make sure that the "legacy" system test fails if the expected
phrase is not found in any of the relevant files containing dig output.

Merge branch '1044-include-config.h-in-gen.c' into 'master'

Resolve "gen fails to generate headers on Debian buster"

Closes #1044

See merge request isc-projects/bind9!1954

Use getconf LFS_{CFLAGS,LDFLAGS,LIBS} to get flags to compile lib/dns/gen

On some systems (namely Debian buster armhf) the readdir() call fails
with `Value too large for defined data type` unless the
_FILE_OFFSET_BITS=64 is defined.  The correct way to fix this is to
get the appropriate compilation parameters from getconf system
interface.

Exit the ./gen program on failed readdir() call

Merge branch '1056-misleading-error-message-when-trying-to-build-without-python-support' into 'master'

Resolve "Misleading error message when trying to build without Python support"

Closes #1056

See merge request isc-projects/bind9!1964

fix configire error message to say --without-python

Merge branch '1046-deadlock-in-tcp-code' into 'master'

Fix a possible deadlock in TCP accepting

Closes #1046

See merge request isc-projects/bind9!1958

Fix a possible deadlock in TCP accepting

Each network thread holds an array of locks, indexed by a hash
of fd. When we accept a connection we hold a lock in accepting thread.
We then generate the thread number and lock bucket for the new
connection socket - if we hit the same thread and lock bucket as
accepting socket we get a deadlock. Avoid this by checking if we're
in the same thread/lock bucket and not locking in this case.

Merge branch '1050-build-failure-on-windows' into 'master'

Resolve "Build failure on Windows"

Closes #1050

See merge request isc-projects/bind9!1959

include <isc/string.h> for isc_string_strerror_r prototype

use atomics in lib/isc/win32/app.c

Merge branch '1028-dig-trace-should-not-set-rd-0-norecurse-for-the-initial-root-hints-query' into 'master'

Resolve "dig +trace should not set RD=0 (+norecurse) for the initial root hints query"

Closes #1028

See merge request isc-projects/bind9!1939

Recurse to find the root server list with 'dig +trace'.

Merge branch '605-add-siphash24' into 'master'

Add SipHash24 algorithm and use it in isc_hash function

Closes #360

See merge request isc-projects/bind9!1462

Add CHANGES entry:

5236.   [func]          Add SipHash 2-4 implementation in lib/isc/siphash.c
                        and switch isc_hash_function() to use SipHash 2-4.
                        [GL #605]

Remove isc_hash_reverse function

Convert isc_hash functions to use isc_siphash24

Add tests for the isc_siphash24 function

Add reference SipHash 2-4 implementation

Add portable <isc/endian.h> header

Merge branch '1023-make-app.c-TSAN-clean' into 'master'

Make isc_app_t opaque and thread-safe

Closes #1023

See merge request isc-projects/bind9!1936

Add CHANGES entry:

5235.   [cleanup]       Refactor lib/isc/app.c to be thread-safe, unused
                        parts of the API has been removed and the
                        isc_appctx_t data type has been changed to be
                        fully opaque. [GL #1023]

Make lib/isc/app.c opaque and thread-safe

This work cleans up the API which includes couple of things:

1. Make the isc_appctx_t type fully opaque

2. Protect all access to the isc_app_t members via stdatomics

3. sigwait() is part of POSIX.1, remove dead non-sigwait code

4. Remove unused code: isc_appctx_set{taskmgr,sockmgr,timermgr}

Merge branch 'each-document-bug-ids' into 'master'

update README to explain gitlab numbers

See merge request isc-projects/bind9!1946

update README to explain gitlab numbers

Merge branch '1003-SO_REUSEPORT-tweaks' into 'master'

Resolve "socket.c error 'SO_REUSEPORT' undeclared"

Closes #1003

See merge request isc-projects/bind9!1884

Use SO_REUSEPORT_LB on FreeBSD if available

Add safeguard against the other usage of SO_REUSEPORT

Merge branch 'ondrej/add-all-isc-atomic-defines' into 'master'

Add most useful relaxed and acquire-relase stdatomic convenience macros

See merge request isc-projects/bind9!1935

Add most useful relaxed and acquire-relase stdatomic convenience macros

The header file <isc/atomic.h> now contains convenience macros for
most useful explicit memory ordering for C11 stdatomics, only relaxed
and acquire-release semantics is being used.  These macros SHOULD be
used instead of atomic_<func>_explicit functions.

Merge branch '899-remove-unspec' into 'master'

Remove UNSPEC rrtype

Closes #899

See merge request isc-projects/bind9!1931

Remove UNSPEC rrtype

Merge branch '981-armv5-build-is-broken' into 'master'

Resolve "armv5 build is broken"

Closes #981

See merge request isc-projects/bind9!1892

arm: just use the compiler's default yield support

Merge branch '984-remove-dead-code-in-pkcs11-keygen-c' into 'master'

Resolve "Remove dead code in pkcs11-keygen.c"

Closes #984

See merge request isc-projects/bind9!1814

remove dead code and unnecessary call to pkcs_C_GetAttributeValue

Merge branch '713-mem-benchmark' into 'master'

Add benchmark for isc_{mem,mempool}_{get,put} operations

Closes #713

See merge request isc-projects/bind9!1928

Add benchmark for isc_{mem,mempool}_{get,put} operations

Merge branch 'prep-release'

prep 9.15.0

Merge branch 'placeholder' into 'master'

placeholder

See merge request isc-projects/bind9!1923

add a placeholder that was missed earlier; update subsequent change numbers

Merge branch '997-make-ntas-work-with-validating-forwarders' into 'master'

Make NTAs work with validating forwarders

Closes #997

See merge request isc-projects/bind9!1859

Add CHANGES entry

5219. [bug] Negative trust anchors did not work with "forward only;"
to validating resolvers. [GL #997]

Make NTAs work with validating forwarders

If named is configured to perform DNSSEC validation and also forwards
all queries ("forward only;") to validating resolvers, negative trust
anchors do not work properly because the CD bit is not set in queries
sent to the forwarders.  As a result, instead of retrieving bogus DNSSEC
material and making validation decisions based on its configuration,
named is only receiving SERVFAIL responses to queries for bogus data.
Fix by ensuring the CD bit is always set in queries sent to forwarders
if the query name is covered by an NTA.

Merge branch '958-improve-message-about-python-ply' into 'master'

Improve the error message about missing PLY Python package

Closes #958

See merge request isc-projects/bind9!1918

Improve the error message about missing PLY Python package

Previously, only a message about missing Python was printed, which was
misleading to many users.  The new message clearly states that Python
AND PLY is required and prints basic instructions how to install PLY
package.

Merge branch 'ondrej/reproducible-build' into 'master'

Make lib/dns/gen.c compatible with reproducible builds.

See merge request isc-projects/bind9!1758

Make lib/dns/gen.c compatible with reproducible builds.

The gen.c will now use SOURCE_DATE_EPOCH[1] if found in environment
to make the build more reproducible build friendly.

1. https://reproducible-builds.org/specs/source-date-epoch/

Merge branch '960-add-edns-client-tag-and-edns-server-tag' into 'master'

Resolve "Add EDNS Client Tag and EDNS Server Tag"

Closes #960

See merge request isc-projects/bind9!1754

Recognise EDNS Client Tag and EDNS Server Tag

Merge branch '1015-ds-sha-1-deprecation' into 'master'

Deprecate SHA-1 hash in DS/CDS

Closes #1015

See merge request isc-projects/bind9!1908

add CHANGES and release note

Deprecate SHA-1 CDS records

This affects CDS records generated by `named` and `dnssec-signzone`
based on `-P sync` and `-D sync` key timing instructions.

This is for conformance with the DS/CDS algorithm requirements in
https://tools.ietf.org/html/draft-ietf-dnsop-algorithm-update

Deprecate SHA-1 DS digests in `dnssec-signzone`

This affects two cases:

  * When writing a `dsset` file for this zone, to be used by its
    parent, only write a SHA-256 DS record.

  * When reading a `keyset` file for a child, to generate DS records
    to include in this zone, generate SHA-256 DS records only.

This change does not affect digests used in CDS records.

This is for conformance with the DS/CDS algorithm requirements in
https://tools.ietf.org/html/draft-ietf-dnsop-algorithm-update

Deprecate SHA-1 in `dnssec-checkds`

This changes the behaviour so that it explicitly lists DS records that
are present in the parent but do not have keys in the child. Any
inconsistency is reported as an error, which is somewhat stricter than
before.

This is for conformance with the DS/CDS algorithm requirements in
https://tools.ietf.org/html/draft-ietf-dnsop-algorithm-update

Deprecate SHA-1 in `dnssec-dsfromkey`

This makes the `-12a` options to `dnssec-dsfromkey` work more like
`dnssec-cds`, in that you can specify more than one digest and you
will get multiple records. (Previously you could only get one
non-default digest type at a time.)

The default is now `-2`. You can get the old behaviour with `-12`.

Tests and tools that use `dnssec-dsfromkey` have been updated to use
`-12` where necessary.

This is for conformance with the DS/CDS algorithm requirements in
https://tools.ietf.org/html/draft-ietf-dnsop-algorithm-update

bin/dnssec: move a little boilerplate into shared code

tests/resolver: look for hash algorithm 2 (SHA-256) now

Merge branch '899-totext-fromtext-fuzz' into 'master'

fuzz dns_rdata_fromwire

See merge request isc-projects/bind9!1582

dns_rdata_fromwire_text fuzzer

Fuzz input to dns_rdata_fromwire(). Then convert the result
to text, back to wire format, to multiline text, and back to wire
format again, checking for consistency throughout the sequence.

Merge branch '852-bind-returning-malformed-packet-error-when-sshfp-record-has-fingerprint-value-less-than-4-characters' into 'master'

Resolve "Bind returning malformed packet error when sshfp record has fingerprint value less than 4 characters"

Closes #852

See merge request isc-projects/bind9!1445

enforce known SSHFP finger print lengths

Merge branch '868-fix-trusted-keys-handling-with-dnssec-validation-auto' into 'master'

fix incorrect behavior mixing trusted-keys with validation auto

Closes #868

See merge request isc-projects/bind9!1483

CHANGES, release notes

reject the use of trusted-keys and managed-keys for the same name

Merge branch 'placeholder' into 'master'

placeholder

See merge request isc-projects/bind9!1903

placeholder

Merge branch 'placeholder' into 'master'

placeholder

See merge request isc-projects/bind9!1902

placeholder

Merge branch '765-allow-dig-to-print-aaaa-records-fully-expanded' into 'master'

Resolve "Allow dig to print AAAA records fully expanded."

Closes #765

See merge request isc-projects/bind9!1188

add CHANGES

support printing AAAA in expanded form

Merge branch '991-provide-ixfr-should-only-be-tests-on-tcp-clients' into 'master'

Resolve "provide-ixfr should only be tested on TCP clients."

Closes #991

See merge request isc-projects/bind9!1846

add CHANGES

add test for 'provide-ixfr no;' ; add forensics support

only test provideixfr if the transport is TCP

Merge branch '1005-filter-aaaa-crash-in-9-14-1' into 'master'

Resolve "filter-aaaa crash in 9.14.1"

Closes #1005

See merge request isc-projects/bind9!1886

add CHANGES

lock accesses to hash table

clear pointer before hash table