Merge branch 'security-dlz-axfr-deny-broken-security-v9_12' into 'security-v9_12'

denied axfr requests were not effective for writable DLZ zones

See merge request isc-private/bind9!57

add CHANGES and release notes entries

(cherry picked from commit 354ad18a12e84e5c660ce8e08e56382e529d8b2c)

Merge 'keytag-memleak' into security-v9_12

denied axfr requests were not effective for writable DLZ zones

(cherry picked from commit d9077cd0038e59726e1956de18b4b7872038a283)

add CHANGES and release note entries

(cherry picked from commit 8134c9a3f3bf46455ce4d16f2bf01e086d20f69b)

check that multiple KEY-TAG trust-anchor-telemetry options don't leak memory

(cherry picked from commit 4b1dc4a5445e9561f2208f9388cf9f9e2cfcbe51)

Merge 'managed-key-assert' into security-v9_12

silently ignore additional keytag options

(cherry picked from commit 36158e6c96e982768bd33d4090cbe563718534f2)

use algorithm 255 for both unsupported keys

CHANGES, notes

(cherry picked from commit f0eefb06d488cc99e8b4a4b7238e4a556afb7586)

Update keyfetch_done compute_tag check

If in keyfetch_done the compute_tag fails (because for example the
algorithm is not supported), don't crash, but instead ignore the
key.

(cherry picked from commit b1d5411569ae10830b63f07560091193646cc739)

Add tests for mkeys with unsupported algorithm

These tests check if a key with an unsupported algorithm in
managed-keys is ignored and when seeing an algorithm rollover to
an unsupported algorithm, the new key will be ignored too.

(cherry picked from commit 144cb53d0ae3aa5e6e3123720b603f9ab2bd1fa9)

Don't free key in compute_tag in case of failure

If `dns_dnssec_keyfromrdata` failed we don't need to call
`dst_key_free` because no `dstkey` was created.  Doing so
nevertheless will result in an assertion failure.

This can happen if the key uses an unsupported algorithm.

(cherry picked from commit 7a1ca39b950b7d5230b605ac60f15a1cb94e3d69)

Merge branch '823-masterformat-test-fix-v9_12' into 'v9_12'

fix broken masterformat test

See merge request isc-projects/bind9!1554

fix broken masterformat test

- dig command had the @ parameter in the wrong place
- private-dnskey and private-cdnskey are queried in a separate
  loop, which strips 'private-' from the name to determine the qtype

(cherry picked from commit bc7b34d6ef4e9a539da5f09795f130d4c392104b)

Merge branch 'each-enable-threads' into 'v9_12'

enable threads by default on openbsd 6.2 and higher

See merge request isc-projects/bind9!1548

CHANGES

enable threads by default on openbsd 6.2 and higher

Merge branch 'each-fix-timer-test' into 'v9_12'

timer_test failed to compile if cmocka was enabled but threads were not

See merge request isc-projects/bind9!1547

timer_test failed to compile if cmocka was enabled but threads were not

Merge branch '884-patches-to-review-v9_12' into 'v9_12'

Correct errno to result translation

See merge request isc-projects/bind9!1540

add CHANGES

(cherry picked from commit a0c0d760297db57bcc0c3cbdcb332214e6936d86)

correct errno to result translation

(cherry picked from commit 218ce34e7d692cd12c5cf3bf94a675ec9e28fefb)

Merge branch '836-building-fails-in-build-subdirectory-when-dnstap-is-enabled-v9_12' into 'v9_12'

Resolve "Building fails in build subdirectory when dnstap is enabled"

See merge request isc-projects/bind9!1538

add CHANGES

(cherry picked from commit 3a21fdf88470d81567e2a0f36b57afec3da03301)

teach proto_c to look in the source directory for out of tree builds

(cherry picked from commit c0d4ff57961edfaf0713d9a215750cfa26f42548)

Merge branch '877-clang-scan-build-redundant-assignments-detected-v9_12' into 'v9_12'

Remove redundant assignments

See merge request isc-projects/bind9!1536

remove redundant assignment

(cherry picked from commit f475dc75b1e2d3745e3c5d056339330b4a274aa9)

silence clang

(cherry picked from commit 7b60f6832e702507f2cec23f22ab9cf4abacc1e4)

don't overwrite result

(cherry picked from commit 70fab477b11b63642e05e6e9ce1c998fe2a83add)

remove seen_dname

(cherry picked from commit 63c03cdb2d5ea425dd34c77c5d3291228b4dfffc)

Merge branch '877-clang-scan-build-redundant-assignments-detected-2-v9_12' into 'v9_12'

decode_NegTokenInit failed to cleanup allocated memory on error.

See merge request isc-projects/bind9!1529

fix memory leak

(cherry picked from commit 7114d16098b0cf4910e06490fa70758f1c2c62a3)

Merge branch '877-clang-scan-build-redundant-assignments-detected-2-v9_12' into 'v9_12'

Add missing asserts to socket_test.c and dnstest.c

See merge request isc-projects/bind9!1524

assert result is ISC_R_SUCCESS

(cherry picked from commit 76a1c1531af92e11eb5cfe150d9a8a3d02b64cd2)

Merge branch 'u/fanf2/dnssec-keymgr-man-v9_12' into 'v9_12'

Improve dnssec-keymgr manual

See merge request isc-projects/bind9!1520

Improve dnssec-keymgr manual

Illustrate the syntax for the policy options, with semicolons.

Explicitly mention the "default" policy.

Fix a few typos and remove some redundant wording.

(cherry picked from commit 7ee56e2abdf8bad7c3b0f7f3d52f8f5f44b13f2c)

Merge branch '879-dnssec-checkds-help-v9_12' into 'v9_12'

Correct path in dnssec-checkds help

See merge request isc-projects/bind9!1516

Correct path in dnssec-checkds help

(cherry picked from commit 7bd544e795c6edb4a11cef692543a98dfc87eb8c)

Merge branch '871-add-a-ci-check-for-missing-prereq.sh-scripts-v9_12' into 'v9_12'

Add a CI check for missing prereq.sh scripts

See merge request isc-projects/bind9!1508

add util/check-ans-prereq to precheck

(cherry picked from commit 74c1c375631ed787488832238b0d45db36d842cc)

add check-ans-prereq

(cherry picked from commit ec2ecffef137da5635235330ce05b601f6d3a658)

Merge branch '872-dlz-ldap-dname-v9_12' into 'v9_12'

added DNAME support to DLZ LDAP schema, and fixed a DLZ compile error

See merge request isc-projects/bind9!1503

added DNAME support to DLZ LDAP schema, and fixed a DLZ compile error

Thanks to Roland Gruber for the schema contribution.

(cherry picked from commit 2e3b5db195baf6edfd2fb83094c2a603a28cec70)

Merge branch 'u/fanf2/zonemd-v9_12' into 'v9_12'

Correct ZONEMD expansion in ARM

See merge request isc-projects/bind9!1499

Correct ZONEMD expansion in ARM

(cherry picked from commit af74f185369a85ffff110b11fe249b430a6b7bfb)

Merge branch '869-prereq-sh-needed-in-forward-test-v9_12' into 'v9_12'

[v9_12] Resolve "prereq.sh needed in forward test"

See merge request isc-projects/bind9!1495

added prereq.sh to forward test to detect perl Net::DNS

(cherry picked from commit 8c929bd7c5058a264076ed069efe6acc428c9a16)

Merge branch '867-rrtypes-missing-from-named-v9_12' into 'v9_12'

Resolve "rrtypes missing from named"

See merge request isc-projects/bind9!1491

add AMTRELAY and ZONEMD to ARM

(cherry picked from commit b06c5f8cfd3e449942f6020f054d167ea3e00b6f)

fix AMTRELAY name

(cherry picked from commit a9fadafecd6470ea0795561f1d7ea66ee3c8dd2a)

Merge branch 'each-dnssec-coverage-dots-v9_12' into 'v9_12'

dnssec-coverage was improperly ignoring some zones

See merge request isc-projects/bind9!1488

CHANGES

(cherry picked from commit a242c704f5aed9c8e8a42e2c975c70d37d882f67)

adjust style, match test to other tests

(cherry picked from commit 9949163936e22adabf94ea05a9dfed76527cf1a5)

dnssec-coverage: fix handling of zones without trailing dots

After change 5143, zones listed on the command line without trailing
dots were ignored.

(cherry picked from commit a159675f448130daf29670c2b2bbc9edb5e20c09)

Merge branch '867-rrtypes-missing-from-named-v9_12' into 'v9_12'

Resolve "rrtypes missing from named"

See merge request isc-projects/bind9!1485

add top of range checks

(cherry picked from commit 8d69e15988d160a8214d9003d0bfcdfb296bd6fe)

Merge branch '867-rrtypes-missing-from-named-v9_12' into 'v9_12'

Resolve "rrtypes missing from named"

See merge request isc-projects/bind9!1481

CHANGES

(cherry picked from commit 72f6fb069773eb02347315b66b20362cd4c6b3b7)

Add support for ZONEMD

(cherry picked from commit 3183663dd4ae977995f6667c56a4577035175a5e)

Add support for ATMRELAY

(cherry picked from commit 66922ee7af1503c897ac9b0d33305eed139626c7)

Merge branch '207-nslookup-takes-2-argvs-w-o-errors-uses-only-1st-and-last-v9_12' into 'v9_12'

Resolve "nslookup takes >2 argvs w/o errors, uses only 1st and last"

See merge request isc-projects/bind9!1476

error out if there are extra command line options

(cherry picked from commit f73816ff0fda101ebe61213ed4352c1f245b3329)

Merge branch '857-inline-system-test-wasn-t-cleaning-k-files-on-restart-if-interrupted-v9_12' into 'v9_12'

Resolve "inline system test wasn't cleaning K* files on restart if interrupted."

See merge request isc-projects/bind9!1471

Simplify the inline clean script

(cherry picked from commit 519152b1919b89f15876ddaabb9a0f69969cd60c)

clean K* files in inline system test directory

(cherry picked from commit 1878efe661f941ae811cf27cfe9caab5f886ea91)

Merge branch 'u/fanf2/cleanup-cdnskey-to-ds-v9_12' into 'v9_12'

cleanup: allow building DS directly from CDNSKEY

See merge request isc-projects/bind9!1469

cleanup: allow building DS directly from CDNSKEY

Relax an assertion in lib/dns/ds.c so that dnssec-cds does
not have to work around it. This will also be useful for
dnssec-dsfromkey.

(cherry picked from commit 2e173bbd24a4227769a388b4e20a34c46a3d0c2f)

Merge branch 'u/fanf2/cleanup-dnssec-revoke-help-v9_12' into 'v9_12'

cleanup: fix dnssec-revoke help text

See merge request isc-projects/bind9!1466

cleanup: fix dnssec-revoke help text

Correct alignment and alphabetize

(cherry picked from commit f7b2bd304e3eed8f60fc5e0d6d0c3bc43c5aa62a)

Merge branch 'u/fanf2/dsfromkey-man-v9_12' into 'v9_12'

cleanup: revamp the dnssec-dsfromkey man page and help output

See merge request isc-projects/bind9!1464

cleanup: revamp the dnssec-dsfromkey man page and help output

* Alphabetize the option lists in the man page and help text

* Make the synopses more consistent between the man page and help
  text, in particular the number of different modes

* Group mutually exclusive options in the man page synopses, and order
  options so that it is more clear which are available in every mode

* Expand the DESCRIPTION to provide an overview of the output modes
  and input modes

* Improve cross-references between options

* Leave RFC citations to the SEE ALSO section, and clarify which RFC
  specifies what

* Clarify list of digest algorithms in dnssec-dsfromkey and dnssec-cds
  man pages

(cherry picked from commit 6ca8e130ace087ce476d601c71f67a96220438e3)

Merge branch '860-process_opt-could-be-called-multiple-times-on-the-same-message-in-dig-v9_12' into 'v9_12'

Resolve "process_opt() could be called multiple times on the same message in dig."

See merge request isc-projects/bind9!1460

add CHANGES

(cherry picked from commit 946d5c2c1ec0f76e6d7ef58c6e083c9fd63db392)

send over and undersized cookie

(cherry picked from commit 0207199bb88a9ffc6b62af13ec5953cb098e3346)

the condition test for checking the client cookie value was wrong; don't call process_opt multiple times

(cherry picked from commit d9c368eee0826a3fbf7111e591dedcf53cb66c0b)

Merge branch '822-test-make-install-in-one-of-the-build-jobs-v9_12' into 'v9_12'

[v9_12] Test "make install" in one of the build jobs

See merge request isc-projects/bind9!1456

Test "make install" in one of the build jobs

Running "make install" in a separate job in the "test" phase of a CI
pipeline causes a lot of object files to be rebuilt due to the way
artifacts are passed between GitLab CI jobs (object files extracted from
the artifacts archive have older modification times than their
respective source files checked out using Git by the worker running the
"install" job).  Test "make install" in one of the build jobs instead,
in order to prevent object rebuilding.

Using 'after_script' for this purpose was not an option because its
failures are ignored.

Duplicating the build script in two places would be error-prone in the
long run and thus was rejected as a solution.  YAML anchors would also
not help in this case.

A "positive" test (`test -n "${RUN_MAKE_INSTALL}" && make install`)
would not work because:

  - it would cause the build script to fail for any job not supposed to
    run "make install",

  - appending `|| :` to the shell pipeline would prevent "make install"
    errors from causing a job failure.

Due to the above, a "negative" test is performed, so that:

  - jobs not supposed to run "make install" succeed immediately,

  - jobs supposed to run "make install" only succeed when "make install"
    succeeds.

(cherry picked from commit 2a231b6239278047da73649df034a1bfd7c74651)

Merge branch 'each-win-tests-v9_12' into 'v9_12'

tests failing on windows due to false crash-on-shutdown reports

See merge request isc-projects/bind9!1447

disable the check for crash on shutdown when running under cygwin

(cherry picked from commit 449842e1ce09c76dc108756e9deb8620a6263acd)

Merge branch '623-rpz-logging-to-include-qclass-and-qtype-v9_12' into 'v9_12'

Resolve "RPZ logging to include QCLASS and QTYPE"

See merge request isc-projects/bind9!1444

add CHANGES note

(cherry picked from commit 505a1ceda45fa2e5f95c6ea4d6565108b9c4b602)

log RPZ type and class

(cherry picked from commit 28442f11f07b2ad4296f668a9dbf99bda873e79a)

Merge branch 'each-silence-warning-v9_12' into 'v9_12'

silence a spurious dnssec-keygen warning in the dnssec system test

See merge request isc-projects/bind9!1442

silence a spurious dnssec-keygen warning in the dnssec system test

the occluded-key test creates both a KEY and a DNSKEY. the second
call to dnssec-keygen calls dns_dnssec_findmatchingkeys(), which causes
a spurious warning to be printed when it sees the type KEY record.
this should be fixed in dnssec.c, but the meantime this change silences
the warning by reversing the order in which the keys are created.

(cherry picked from commit 6661db95641f3944378e4d1a52fea116725fdcd1)

Merge branch '101-dumpdb-stale-ttl-v9_12' into 'v9_12'

Resolve "[Support#12071] [RT#46548] Output stale/expired data with 'rndc dumpdb'"

See merge request isc-projects/bind9!1436

CHANGES

Add tests for dumpdb stale ttl

This adds a test for rndc dumpdb to ensure the correct "stale
comment" is printed.  It also adds a test for non-stale data to
ensure no "stale comment" is printed for active RRsets.

In addition, the serve-stale tests are hardened with more accurate
grep calls.

Print in dump-file stale ttl

This change makes rndc dumpdb correctly print the "; stale" line.
It also provides extra information on how long this data may still
be served to clients (in other words how long the stale RRset may
still be used).

Merge branch '850-catch-shutdown-aborts-v9_12' into 'v9_12'

detect crash on shutdown in stop.pl

See merge request isc-projects/bind9!1440

detect crash on shutdown in stop.pl

(cherry picked from commit 9bf37f4e4847b656ed408d76222beebc1638a069)

Merge branch '849-fix-tkey-leak-v9_12' into 'v9_12'

fix TKEY problems

See merge request isc-projects/bind9!1438

Change #4148 wasn't complete

- there was a memory leak when using negotiated TSIG keys.
- TKEY responses could only be signed when using a newly negotiated
  key; if an existent matching TSIG was found in in the keyring it
  would not be used.

(cherry picked from commit 73ba24fb36d234caeb7098a22d869885c13703f6)

Merge branch '821-matthijs-unsigned-gss-tsig-tkey-query-response-v9_12' into 'v9_12'

Resolve "Unsigned GSS-TSIG TKEY Query Response"

See merge request isc-projects/bind9!1430

Update CHANGES

(cherry picked from commit f1c6e01a0f73718982294fd64f826b2db31e9448)

allow TSIG key to be added to message structure after parsing

up until now, message->tsigkey could only be set during parsing
of the request, but gss-tsig allows one to be created afterward.

Harden GSS-TSIG tests, verify signed TKEY response

Merge branch '848-keymgr-19-old-keys-failing-on-penguin-v9_12' into 'v9_12'

Resolve "keymgr 19-old-keys failing on penguin"

See merge request isc-projects/bind9!1425

add CHANGES

(cherry picked from commit b9d5a62bdccb2d7972d324c998f205a6de9d7d1f)

add 300 seconds of fudge

(cherry picked from commit acf0292da4c193fc83e6444f390d59e2d979f7a1)