- Fix that the zone acquired timestamp is set after the
  zonefile is read.

- Fix #1319: [FR] zone status for Unbound auth-zones.

- Fix sha1 enable environment variable in test code on windows.

- For #1318: Fix compile warnings for DoH compile on windows.

- Fix for #1317: Fix contrib/unbound.service comment path for
  systemd network configuration.

- Fix #1317: Unbound starts too early. Add
  Wants=network-online.target under [Unit] in unbound.service.

- Fix to check for extraneous command arguments for unbound-control,
  when the command takes no arguments but there are arguments present.
Changelog note for the fix.

- Fix to check for extraneous command arguments for unbound-control,
  when the command takes no arguments but there are arguments present.

- Fix cache_lookup subnet print to not print messages without rrsets
  and perform in-depth check on node in the addrtree.

- Fix cache_lookup subnet print to not print messages without rrsets
  and perform in-depth check on node in the addrtree.

- Fix cache_lookup subnet printout to wipe zero part of the prefix.
Changelog entry.

- Fix cache_lookup subnet printout to wipe zero part of the prefix.

- unbound-control cache_lookup +t allows tld and root names. And
  subnet cache contents are printed.
Changelog, documentation and unit test.

- unbound-control cache_lookup +t allows tld and root names. And
  subnet cache contents are printed.

- Fix to decouple file descriptor activity and cache lookups in
  dump_cache.
Changelog note.

- Fix to decouple file descriptor activity and cache lookups in
  dump_cache.

- Fix to increase responsiveness of dump_cache.

- Fix to unlock cache_lookup message for malformed records.

- Fix to remove debug from cache_lookup.

- unbound-control cache_lookup <domains> prints the cached rrsets
  and messages for those.
Changelog and information.

- unbound-control cache_lookup <domains> prints the cached rrsets
  and messages for those.

- Fix that unbound-control dump_cache releases the cache locks
  every so often, so that the server stays responsive.
Changelog entry for it.

- Fix that unbound-control dump_cache releases the cache locks
  every so often, so that the server stays responsive.

- Fix to whitespace in dname_str.

- Fix that edns-subnet failure to create a subquery errors as
  servfail, and not formerror.

- Fix dname_str for printout of long names. Thanks to Jan Komissar
  for the fix.

- Fix edns subnet, so that the subquery without subnet is stored in
  global cache if the querier used 0.0.0.0/0 and the name and address
  do not receive subnet treatment. If the name and address are
  configured for subnet, it is stored in the subnet cache.

- Fix edns subnet, so that the subquery without subnet is stored in
  global cache if the querier used 0.0.0.0/0 and the name and address
  do not receive subnet treatment. If the name and address are
  configured for subnet, it is stored in the subnet cache.

- Fix to use assertions for consistency checks in #1309 reclaimed

- Fix #1309: incorrectly reclaimed tcp handler can cause data
  corruption and segfault.

- Fix testbound test program to accurately output packets from hex.

- Fix redis cachedb module gettimeofday init failure.
Changelog note for the fix.

- Fix redis cachedb module gettimeofday init failure.

- Redis checks for server down and throttles reconnects.
And unit test for redis reconnect interval.

- Redis checks for server down and throttles reconnects.

- iana portlist updated.

- Fix #1303: [FR] Disable TLSv1.2.

- Fix to not set rlimits in the unit tests.

- Add unit tests for non-ecs aggregation.

- Fix for RebirthDay Attack CVE-2025-5994, reported by Xiang Li
  from AOSP Lab Nankai University.
- Tag for 1.23.1 with the release of 1.23.0 and the CVE fix, the
  repository continues with the previous fixes, with 1.23.2.

Merge branch 'branch-1.23.1'

- Fix RebirthDay Attack CVE-2025-5994, reported by Xiang Li from AOSP
  Lab Nankai University.

- Set version to 1.23.1.

- Update man page templates from rst.

- For #1289: add num.valops in the unbound-control man page.

- For #1289: test num.valops in existing stat_values.tdir.

Changelog entry for #1289:
- Merge #1289 from Roland van Rijswijk-Deij: Add extra statistic to
  track the number of signature validation operations.
  Adds 'num.valops' to extended statistics.

Add extra statistic to track the number of signature validation operations (#1289)

* Add extra statistic to track the number of signature validation operations performed by the validator module

* Move validation operation statistic to mesh as suggested

* Fix NULL pointer dereference in case the mesh is not used (and is `NULL`)

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>
* Fix NULL pointer dereference on qstate and qstate->env in unit test situation

---------

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- For #1301: configure cant find SSL_is_quic in OpenSSL 3.5.1.

- Fix detection of SSL_CTX_set_tmp_ecdh function.

- Fix to improve dnstap discovery on Fedora.

- Fix layout of comm_point_udp_ancil_callback.

- For #1300: implement sock-queue-timeout for FreeBSD as well.

- Fix #1300: Is 'sock-queue-timeout' a linux only feature.

Changelog note for #1299
- Generate ltmain.sh and configure again.

Fix typos (#1299)

- For #1247, replay test (added tcp_transport to
  outnet_serviced_query).

- For #1247, turn off fetch-policy for delegation when looking into
  parent side name servers that may not update the addresses and hit
  NXNS limits.

- Fix #1247: forward-first: ssl handshake failed on root nameservers.

Changelog entry for #1293:
- Fix #1293: EDE 6 is attached to insecure cached answers when client
  sends the CD bit.

- Fix #1293: EDE 6 is attached to insecure cached answers when client sends
  the CD bit.

- Fix rrset cache create allocation failure case.

Changelog note for #1297
- Merge #1297: edns-subnet: fix NULL_AFTER_DEREF on subnetmod.

edns-subnet: fix NULL_AFTER_DEREF on subnetmod (#1297)

Found by static analyzer svace.
Static analyzer message: Redundant comparison with a NULL value at subnetmod.c:236 for pointer 'sn_env->subnet_msg_cache',
which was dereferenced at slabhash.c:228 by passing as 1st parameter to function 'slabhash_setmarkdel' at subnetmod.c:235.

Moved usage of sn_env->subnet_msg_cache in slabhash_setmarkdel after checking.

Signed-off-by: Konstantin Kamanin <bewflast@gmail.com>

- Fix #1296: DNS over QUIC depends on a very outdated version of
  ngtcp2. Fixed so it works with ngtcp2 1.13.0 and OpenSSL 3.5.0.

- Fix for consistent use of local zone CNAME alias for configured auth
  zones. Now it also applies to downstream configured auth zones.

- Fix #1295: Windows 32-bit binaries download seems to be missing dll
  dependency.

- Fix to check control-interface addresses in unbound-checkconf.

- Fix header return value description for skip_pkt_rrs and
  parse_edns_from_query_pkt.

- Fix conditional expressions with parentheses for bitwise and.

- Fix bitwise operators in conditional expressions with parentheses.

- iana portlist updated.

- Fix comment for the dname_remove_label_limit_len function.

- Fix unbound-anchor certificate file read for line ends and end of
  file.

- Small man page corrections for the 'disable-dnssec-lame-check' option.

- Fix #1288: [FR] Improve fuzzing of unbound by adapting the netbound
  program.

- Add more checks about respip in unbound-checkconf.
  Also fixes #310: unbound-checkconf not reporting RPZ configuration
  error.

Changelog entry for #1285:
- Merge #1285:  RST man pages.

RST man pages (#1285)

Introduce restructuredText man pages to sync the online and source code man page documentation.
The templated man pages (*.in) are still part of the repo but generated with docutils from their .rst counterpart.
Documentation on how to generate those (mainly for core developers) are in README.man.

- Fix for cname chain length with qtype ANY and qname minimisation.
  Thanks to Jim Greenwood from Nominet for the report.

- Fix config of slab values when there is no config file.

- Adjusted so-sndbuf default to 4m.

- Change default for so-sndbuf to 1m, to mitigate a cross-layer
  issue where the UDP socket send buffers are exhausted waiting
  for ARP/NDP resolution. Thanks to Reflyable for the report.

- Fix #1282: log-destaddr fail on long ipv6 addresses.

- Fix #1284: NULL pointer deref in az_find_nsec_cover() (latent bug)
  by adding a log_assert() to safeguard future development.

- Fix #1283: Unsafe usage of atoi() while parsing the configuration
  file.

Changelog entry for #1280:
- Merge #1280: Fix auth nsec3 code. Fixes NSEC3 code to not break on
  broken auth zones that include unsigned out of zone (above apex)
  data. Could lead to hang while trying to prove a wildcard answer.

Fix auth nsec3 code (#1280)

- Fix NSEC3 code to not break on broken auth zones that include unsigned
  out of zone (above apex) data. Could lead to hang while trying to
  prove a wildcard answer.
  Reported by Dmitrii Kuvaiskii from Amazon Web Services.

- Tests for NSEC3 auth zones with out of zone data.

- Fix #1281: forward-zone "name: ." conflicts with auth-zone "name: ."
  in 1.23.0, but worked in 1.22.0.

- Sync unbound and unbound-checkconf log output for unknown modules.

Changelog entry for #1276:
- Merge #1276: Auto-configure '-slabs' values.

Auto-configure '-slabs' values (#1276)

- Auto-configure '-slabs' values to a power of 2 value close to num-threads
  by default for multi-threaded environments.

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- Fix dnstap to use protoc.

- Fix for parallel build of dnstap protoc-c output.

Changelog entry for #1275:
- Merge #1275: Use macros for the fr_check_changed* functions.

Use macros for the fr_check_changed* functions (#1275)

- Fix #1272: assertion failure testcode/unitverify.c:202.

- Tag for 1.23.0rc2. This became the release of 1.23.0 on 24 April
  2025. The code repository continues with 1.23.1 in development.

Merge branch 'branch-1.23.0'

- Increase default to `num-queries-per-thread: 2048`, when unbound is
  compiled with libevent. It makes saturation of the task queue more
  resource intensive and less practical. Thanks to Shiming Liu,
  Network and Information Security Lab, Tsinghua University for the
  report.