- iana portlist updated.

- Fix header_seen detection for trust anchor files, so that it
  detects the id line.

- Fix #1457: race condition causes segfault when starting
  threads.

- Fix analyzer warning in mesh_new_client.

- Fix that validator caps number of ANY RRsets it can
  validate, and the wait timer is shortened. Thanks to Qifan
  Zhang, Palo Alto Networks, for the report.

- Fix ipset module for name too long checks, race conditions
  on local name buffer, and for socket close race condition.
  Thanks to Qifan Zhang, Palo Alto Networks, for the report.

- Fix that dns64 with subnetcache does not write ECS scoped
  answers to global cache. Thanks to Qifan Zhang, Palo Alto
  Networks, for the report.

- Fix, in depth, for respip rewrite of dns64 responses. Thanks
  to Qifan Zhang, Palo Alto Networks, for the report.

- Fix manual to document ratelimit, that it is for target
  nameservers for a domain, and keeps queries limited. Thanks
  to Qifan Zhang, Palo Alto Networks, for the report.

- Fix to decrement the per-netblock tcp connection limits, so
  it keeps usable. Thanks to Qifan Zhang, Palo Alto Networks,
  for the report.

- Fix to reset the tcp-timeout before applying a load based
  reduction. Thanks to Qifan Zhang, Palo Alto Networks, for the
  report.

- Fix that msgencode insert_query has the correct assertion,
  for a local_alias. Thanks to Qifan Zhang, Palo Alto Networks,
  for the report.

- Fix that the ratelimit is decremented on successful
  referrals. Thanks to Qifan Zhang, Palo Alto Networks, for
  the report.

- Fix to limit the DSNS per-label walk in the iterator. Thanks
  to Qifan Zhang, Palo Alto Networks, for the report.

- Fix for autotrust state-file line overflow, that can give
  hold-down bypass. Thanks to Qifan Zhang, Palo Alto Networks,
  for the report.

- Fix for mesh new client and mesh new callback to rollback the
  added address, tcp mesh state and callback when there is a failure
  to initialize. This fixes the mesh accounting of reply addresses.
  Thanks to Xin Wang, Jiapeng Li, and Jiajia Liu, Northwestern
  Polytechnical University, for the report

- Fix for signed same-owner CNAME and ordinary RRset responses.
  Thanks to Xin Wang and Jiajia Liu, Northwestern Polytechnical
  University, for the report.

- Fix cleaning up DoH session. The same query can be on multiple
  streams in a session. Thanks to Qifan Zhang, Palo Alto Networks,
  for the report.

- Fix lame server detection, for selfpointed glue records.
  Thanks to Shuhan Zhang, Dan Li, and Baojun Liu from Tsinghua
  University for the report.

- Fix in depth for serve-expired responses from cachedb, that it
  does not store bogus. Thanks to Qifan Zhang, Palo Alto Networks,
  for the report.

Remove the debug file.

- Unit test for CVE-2026-44390.

- Unit test for CVE-2026-42960.

- Unit test for CVE-2026-40622.

- Unit test for CVE-2026-42959.

- Unit test for CVE-2026-42944.

- Unit test for CVE-2026-33278.

- Tag for 1.25.1 release, it contains the security fixes on 1.25.0.
  the code repository continues with in addition the previous fixes,
  for 1.25.2.

Merge branch 'branch-1.25.1'

- Fix CVE-2026-44608, Use after free and crash in RPZ code. Thanks
  to Qifan Zhang, Palo Alto Networks, for the report.

Changelog entry.
- Fix CVE-2026-44390, Unbounded name compression in certain cases
  causes degradation of service. Thanks to Qifan Zhang, Palo Alto
  Networks, for the report.

- Fix CVE-2026-44390, Unbounded name compression in certain cases
  causes degradation of service. Thanks to Qifan Zhang, Palo Alto
  Networks, for the report.

- Fix CVE-2026-42960, Possible cache poisoning attack while following
  delegation. Thanks to TaoFei Guo from Peking University, Yang Luo
  and JianJun Chen, Tsinghua University, for the report.

- Fix CVE-2026-42923, Degradation of service with unbounded NSEC3
  hash calculations. Thanks to Qifan Zhang, Palo Alto Networks, for
  the report.

- Fix CVE-2026-42534, Jostle logic bypass degrades resolution
  performance. Thanks to Qifan Zhang, Palo Alto Networks, for the
  report.

- Fix CVE-2026-41292, Parsing a long list of incoming EDNS options
  degrades performance. Thanks to GitHub user 'N0zoM1z0', also Qifan
  Zhang from Palo Alto Networks, for the report.

- Fix CVE-2026-40622, "Ghost domain name" variant. Thanks to Qifan
  Zhang, Palo Alto Networks, for the report.

- Fix CVE-2026-32792, Packet of death with DNSCrypt. Thanks to Andrew
  Griffiths from 'calif.io' for the report.

- Fix CVE-2026-42959, Crash during DNSSEC validation of malicious
  content. Thanks to Qifan Zhang, Palo Alto Networks, for the report.

- Fix CVE-2026-42944, Heap overflow and crash with multiple nsid,
  cookie, padding EDNS options. Thanks to Qifan Zhang, Palo Alto
  Networks, for the report.

- Fix CVE-2026-33278, Possible remote code execution during DNSSEC
  validation. Thanks to Qifan Zhang, Palo Alto Networks, for the report.

Set version to 1.25.1 for release.

- Fix for mixed class referrals, the resolver uses the query
  class. Thanks to Xin Wang and Jiajia Liu, Northwestern
  Polytechnical University, for the report.

- Fix DNSKEY size calculation for noncanonical RSA DNSKEYs
  with leading zeroes for n. Thanks to Xin Wang and Jiajia Liu,
  Northwestern Polytechnical University, for the report.

- Fix DNSSEC validation with libnettle for noncanonical RSA
  DNSKEYs with leading zeroes for n. Thanks to Xin Wang and
  Jiajia Liu, Northwestern Polytechnical University, for
  the report.

- Fix for allocation-failure hardening of rrset cache wildcard
  storage and canonical NSEC owner replacement. Thanks to Xin
  Wang and Jiajia Liu, Northwestern Polytechnical University,
  for the report.

- Fix that for dns64 answers, the AAAA query is checked to be
  DNSSEC validated, when DNSSEC is enabled. This improves
  the RFC6147 conformance of Unbound. Thanks to Xin Wang
  and Jiajia Liu, Northwestern Polytechnical University, for
  the report. In addition, thanks to Qifan Zhang, Palo Alto
  Networks, for reporting it.

- Fix val_find_DS for robustness, to check the result of
  packet_rrset_copy_region before using it. Thanks to Xin Wang
  and Jiajia Liu, Northwestern Polytechnical University, for
  the report.

Merge branch 'master' of github.com:NLnetLabs/unbound

- Fix man page entry for so-sndbuf, it is for responses sent out.

- Fix another comment for EDNS fallback buffer size.

- Fix comment and verbose logging for EDNS fallback buffer size.

- Fix to relax assertions after the TTL 0 handling change.
  This relaxes an assertion in cachedb (it fails instead),
  and for packet_rrset_copy_region.

- Fix to clean up log ids after a failure to start a worker thread.

- Fix for Heap Out-of-Bounds Write via size_t-to-int Truncation
  in setup_if() - outside_network_create(). This fixes that
  large values for num_ports do not overflow and create
  invalid references after integer truncation. Thanks
  to Karnakar Reddy (@karnakarreddi) for the report.

- iana portlist updated.

- Fix windows 64bit build for libssp dependency.

- tag for 1.25.0. The code repository continues with 1.25.1 in
  development.

- For #1441: Fix type of ipv6 addr struct.

Changelog entry for #1441.
- Merge #1441: Fix buffer overrun in
  doq_repinfo_retrieve_localaddr().

Fix buffer overrun in doq_repinfo_retrieve_localaddr() (#1441)

- Fix doxygen comment syntax.

- Set version number to 1.25.0 of code repository.

- Fix handling of wildcard CNAMEs in the chain of trust.
  An improper wildcard in the chain of trust would send
  the retries to the wrong upstream. Also it could label
  the step in the chain of trust as secure, when it was not.
  Thanks to Qifan Zhang, Palo Alto Networks for the report.

- Fix that a DNAME with an unsigned CNAME is checked for
  the correct match. This stops that for certain zone
  configurations an unchecked unsigned CNAME could get
  secure status. Thanks to Qifan Zhang, Palo Alto Networks
  for the report.

- Fix that signatures are not allowed with revoked dnskeys.
  Thanks to Qifan Zhang, Palo Alto Networks for the report.

- Fix that upstream TLS connections are not reused as TLS
  connections for a different name, at the same IP. This
  checks that the tls name is correct when reusing the
  upstream connections. Thanks to TaoFei Guo from Peking
  University and JianJun Chen from Tsinghua University for
  the report.

- Fix for missing bounds check for decompressing dnames
  for downloaded authority zones. This fixes that the server
  could end up with malformed zone content after receiving
  truncated packet contents from an AXFR. In addition, the
  domain names in the SOA rdata are checked before the
  authority code picks up the zone serial.
  Thanks to Halil Oktay for the report.

- Fix for iterator RCODE handling of YXDOMAIN. This fixes
  that the server only accepts YXDOMAIN answers that contain
  a DNAME record. This stops bad answers, and checks that
  the authoritative server gives correct replies.
  Thanks to Qifan Zhang, Palo Alto Networks for the report.

- Fix EDNS extended RCODE reflection. This fixes that
  the server does not echo extended rcode values after class
  chaos queries. Thanks to Qifan Zhang, Palo Alto Networks
  for the report.

- Fix for the Jiggle Attack. The server is fixed to answer
  with errors for error cases, and does not stay silent.
  In addition, the error replies do not contain parts of the
  incoming query. This is more conformant, stops reflection
  and stops it as a covert channel. Thanks to Yuqi Qiu and
  Xiang Li, Nankai University (AOSP Lab) for the report.
  In addition, thanks to Qifan Zhang, Palo Alto Networks, for
  noting the fingerprinting possibility, that is also fixed
  with this.

- Add test case for malformed SVCB records. Thanks to
  Qifan Zhang, Palo Alto Networks for the additional test.

- Fix test with https zone for libressl.

- Fix unused variable warning when compiled without ssl.

- Fix compile warnings for thread setname routine, and test compile.

- Fix pthread_setname detection to fail on warnings.

- Update generated configure, with autoconf.

- Update generated man pages.

Changelog entry for #1400:
- Merge #1400: Support pthread_setname_np.

Merge branch 'features/pthread-setname'

- Fix subnet store of servfail to not leak memory.

- Fix ttl comparisons in rdata_copy for 32bit signed or unsigned.

- Fix to increase size of the buffer for the win_svc reportev log
  function.

- Fix compat/gmtime_r old style definition syntax.

- Fix compat/chacha_private sigma and tau definitions to use
  nonstring attribute.

- Update github ci cross platform to use
  cross-platform-actions/action@v1.0.0.
- Fix github ci to speed up with parralel build, for windows ci.

- Update github ci to use actions/checkout@v6.

- Fix to compile the shm code when there is no shmget.

- Fix setup of ssl context copy, to check for the tls service
  pem option for stat calls.

- Fix setup of ssl context copy of the tls service pem option,
  from a clang analyzer warning.

- Fix cleaning up DoH session. The same query can be on multiple
  streams in a session.

- Fix configure, autoconf for #1406.

Changelog entry for #1406:
- Merge #1406: Introduce new 'tls-protocols' configuration option.

Introduce new 'tls-protocols' configuration option (#1406)

- Introduce new 'tls-protocols' configuration option that specifies
  which of the supported TLS protocols will be used.
  This change invalidates some previous changes:
- TLSv1.2 is again enabled by default, but can be selectively turned off if
  desired (related to #1303).
- The biefly introduced (not yet released) 'tls-use-system-versions'
  configuration option, that addressed #1346, is reverted in favor of
  'tls-protocols'.
- The briefly introduced (not yet released) '--enable-system-tls'
  configure option, related to #1401, is no longer needed with the new
  option and the current default.

- Review comment for checking out of memory condition

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- Fix to shorten RRSIG count in scrubber, this protects against
  an overly large number of RRSIGs. It can be configured with
  `iter-scrub-rrsig: 8`, it has default 8. Thanks to Yuxiao Wu,
  Tsinghua University for the report.

- Fix RFC7766 compliance when client sends EOF over TCP. It stops
  pending replies and closes. Thanks to Yuxiao Wu, Tsinghua
  University for the report.

- iana portlist updated.

- Fix clang analyzer warning for subnetmod, when return_msg is
  NULL for update cache, like when it stores servfail status.

- Fix #1017: memory corruption related core dumps.
  When alloc_reg_obtain has an empty list, return a new allocation.

- Update the documentation of 'max-query-restarts' in the man page.