- Fix for signed same-owner CNAME and ordinary RRset responses.
  Thanks to Xin Wang and Jiajia Liu, Northwestern Polytechnical
  University, for the report.

- Fix cleaning up DoH session. The same query can be on multiple
  streams in a session. Thanks to Qifan Zhang, Palo Alto Networks,
  for the report.

- Fix lame server detection, for selfpointed glue records.
  Thanks to Shuhan Zhang, Dan Li, and Baojun Liu from Tsinghua
  University for the report.

- Fix in depth for serve-expired responses from cachedb, that it
  does not store bogus. Thanks to Qifan Zhang, Palo Alto Networks,
  for the report.

Remove the debug file.

- Unit test for CVE-2026-44390.

- Unit test for CVE-2026-42960.

- Unit test for CVE-2026-40622.

- Unit test for CVE-2026-42959.

- Unit test for CVE-2026-42944.

- Unit test for CVE-2026-33278.

- Tag for 1.25.1 release, it contains the security fixes on 1.25.0.
  the code repository continues with in addition the previous fixes,
  for 1.25.2.

Merge branch 'branch-1.25.1'

- Fix CVE-2026-44608, Use after free and crash in RPZ code. Thanks
  to Qifan Zhang, Palo Alto Networks, for the report.

Changelog entry.
- Fix CVE-2026-44390, Unbounded name compression in certain cases
  causes degradation of service. Thanks to Qifan Zhang, Palo Alto
  Networks, for the report.

- Fix CVE-2026-44390, Unbounded name compression in certain cases
  causes degradation of service. Thanks to Qifan Zhang, Palo Alto
  Networks, for the report.

- Fix CVE-2026-42960, Possible cache poisoning attack while following
  delegation. Thanks to TaoFei Guo from Peking University, Yang Luo
  and JianJun Chen, Tsinghua University, for the report.

- Fix CVE-2026-42923, Degradation of service with unbounded NSEC3
  hash calculations. Thanks to Qifan Zhang, Palo Alto Networks, for
  the report.

- Fix CVE-2026-42534, Jostle logic bypass degrades resolution
  performance. Thanks to Qifan Zhang, Palo Alto Networks, for the
  report.

- Fix CVE-2026-41292, Parsing a long list of incoming EDNS options
  degrades performance. Thanks to GitHub user 'N0zoM1z0', also Qifan
  Zhang from Palo Alto Networks, for the report.

- Fix CVE-2026-40622, "Ghost domain name" variant. Thanks to Qifan
  Zhang, Palo Alto Networks, for the report.

- Fix CVE-2026-32792, Packet of death with DNSCrypt. Thanks to Andrew
  Griffiths from 'calif.io' for the report.

- Fix CVE-2026-42959, Crash during DNSSEC validation of malicious
  content. Thanks to Qifan Zhang, Palo Alto Networks, for the report.

- Fix CVE-2026-42944, Heap overflow and crash with multiple nsid,
  cookie, padding EDNS options. Thanks to Qifan Zhang, Palo Alto
  Networks, for the report.

- Fix CVE-2026-33278, Possible remote code execution during DNSSEC
  validation. Thanks to Qifan Zhang, Palo Alto Networks, for the report.

Set version to 1.25.1 for release.

- Fix for mixed class referrals, the resolver uses the query
  class. Thanks to Xin Wang and Jiajia Liu, Northwestern
  Polytechnical University, for the report.

- Fix DNSKEY size calculation for noncanonical RSA DNSKEYs
  with leading zeroes for n. Thanks to Xin Wang and Jiajia Liu,
  Northwestern Polytechnical University, for the report.

- Fix DNSSEC validation with libnettle for noncanonical RSA
  DNSKEYs with leading zeroes for n. Thanks to Xin Wang and
  Jiajia Liu, Northwestern Polytechnical University, for
  the report.

- Fix for allocation-failure hardening of rrset cache wildcard
  storage and canonical NSEC owner replacement. Thanks to Xin
  Wang and Jiajia Liu, Northwestern Polytechnical University,
  for the report.

- Fix that for dns64 answers, the AAAA query is checked to be
  DNSSEC validated, when DNSSEC is enabled. This improves
  the RFC6147 conformance of Unbound. Thanks to Xin Wang
  and Jiajia Liu, Northwestern Polytechnical University, for
  the report. In addition, thanks to Qifan Zhang, Palo Alto
  Networks, for reporting it.

- Fix val_find_DS for robustness, to check the result of
  packet_rrset_copy_region before using it. Thanks to Xin Wang
  and Jiajia Liu, Northwestern Polytechnical University, for
  the report.

Merge branch 'master' of github.com:NLnetLabs/unbound

- Fix man page entry for so-sndbuf, it is for responses sent out.

- Fix another comment for EDNS fallback buffer size.

- Fix comment and verbose logging for EDNS fallback buffer size.

- Fix to relax assertions after the TTL 0 handling change.
  This relaxes an assertion in cachedb (it fails instead),
  and for packet_rrset_copy_region.

- Fix to clean up log ids after a failure to start a worker thread.

- Fix for Heap Out-of-Bounds Write via size_t-to-int Truncation
  in setup_if() - outside_network_create(). This fixes that
  large values for num_ports do not overflow and create
  invalid references after integer truncation. Thanks
  to Karnakar Reddy (@karnakarreddi) for the report.

- iana portlist updated.

- Fix windows 64bit build for libssp dependency.

- tag for 1.25.0. The code repository continues with 1.25.1 in
  development.

- For #1441: Fix type of ipv6 addr struct.

Changelog entry for #1441.
- Merge #1441: Fix buffer overrun in
  doq_repinfo_retrieve_localaddr().

Fix buffer overrun in doq_repinfo_retrieve_localaddr() (#1441)

- Fix doxygen comment syntax.

- Set version number to 1.25.0 of code repository.

- Fix handling of wildcard CNAMEs in the chain of trust.
  An improper wildcard in the chain of trust would send
  the retries to the wrong upstream. Also it could label
  the step in the chain of trust as secure, when it was not.
  Thanks to Qifan Zhang, Palo Alto Networks for the report.

- Fix that a DNAME with an unsigned CNAME is checked for
  the correct match. This stops that for certain zone
  configurations an unchecked unsigned CNAME could get
  secure status. Thanks to Qifan Zhang, Palo Alto Networks
  for the report.

- Fix that signatures are not allowed with revoked dnskeys.
  Thanks to Qifan Zhang, Palo Alto Networks for the report.

- Fix that upstream TLS connections are not reused as TLS
  connections for a different name, at the same IP. This
  checks that the tls name is correct when reusing the
  upstream connections. Thanks to TaoFei Guo from Peking
  University and JianJun Chen from Tsinghua University for
  the report.

- Fix for missing bounds check for decompressing dnames
  for downloaded authority zones. This fixes that the server
  could end up with malformed zone content after receiving
  truncated packet contents from an AXFR. In addition, the
  domain names in the SOA rdata are checked before the
  authority code picks up the zone serial.
  Thanks to Halil Oktay for the report.

- Fix for iterator RCODE handling of YXDOMAIN. This fixes
  that the server only accepts YXDOMAIN answers that contain
  a DNAME record. This stops bad answers, and checks that
  the authoritative server gives correct replies.
  Thanks to Qifan Zhang, Palo Alto Networks for the report.

- Fix EDNS extended RCODE reflection. This fixes that
  the server does not echo extended rcode values after class
  chaos queries. Thanks to Qifan Zhang, Palo Alto Networks
  for the report.

- Fix for the Jiggle Attack. The server is fixed to answer
  with errors for error cases, and does not stay silent.
  In addition, the error replies do not contain parts of the
  incoming query. This is more conformant, stops reflection
  and stops it as a covert channel. Thanks to Yuqi Qiu and
  Xiang Li, Nankai University (AOSP Lab) for the report.
  In addition, thanks to Qifan Zhang, Palo Alto Networks, for
  noting the fingerprinting possibility, that is also fixed
  with this.

- Add test case for malformed SVCB records. Thanks to
  Qifan Zhang, Palo Alto Networks for the additional test.

- Fix test with https zone for libressl.

- Fix unused variable warning when compiled without ssl.

- Fix compile warnings for thread setname routine, and test compile.

- Fix pthread_setname detection to fail on warnings.

- Update generated configure, with autoconf.

- Update generated man pages.

Changelog entry for #1400:
- Merge #1400: Support pthread_setname_np.

Merge branch 'features/pthread-setname'

- Fix subnet store of servfail to not leak memory.

- Fix ttl comparisons in rdata_copy for 32bit signed or unsigned.

- Fix to increase size of the buffer for the win_svc reportev log
  function.

- Fix compat/gmtime_r old style definition syntax.

- Fix compat/chacha_private sigma and tau definitions to use
  nonstring attribute.

- Update github ci cross platform to use
  cross-platform-actions/action@v1.0.0.
- Fix github ci to speed up with parralel build, for windows ci.

- Update github ci to use actions/checkout@v6.

- Fix to compile the shm code when there is no shmget.

- Fix setup of ssl context copy, to check for the tls service
  pem option for stat calls.

- Fix setup of ssl context copy of the tls service pem option,
  from a clang analyzer warning.

- Fix cleaning up DoH session. The same query can be on multiple
  streams in a session.

- Fix configure, autoconf for #1406.

Changelog entry for #1406:
- Merge #1406: Introduce new 'tls-protocols' configuration option.

Introduce new 'tls-protocols' configuration option (#1406)

- Introduce new 'tls-protocols' configuration option that specifies
  which of the supported TLS protocols will be used.
  This change invalidates some previous changes:
- TLSv1.2 is again enabled by default, but can be selectively turned off if
  desired (related to #1303).
- The biefly introduced (not yet released) 'tls-use-system-versions'
  configuration option, that addressed #1346, is reverted in favor of
  'tls-protocols'.
- The briefly introduced (not yet released) '--enable-system-tls'
  configure option, related to #1401, is no longer needed with the new
  option and the current default.

- Review comment for checking out of memory condition

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- Fix to shorten RRSIG count in scrubber, this protects against
  an overly large number of RRSIGs. It can be configured with
  `iter-scrub-rrsig: 8`, it has default 8. Thanks to Yuxiao Wu,
  Tsinghua University for the report.

- Fix RFC7766 compliance when client sends EOF over TCP. It stops
  pending replies and closes. Thanks to Yuxiao Wu, Tsinghua
  University for the report.

- iana portlist updated.

- Fix clang analyzer warning for subnetmod, when return_msg is
  NULL for update cache, like when it stores servfail status.

- Fix #1017: memory corruption related core dumps.
  When alloc_reg_obtain has an empty list, return a new allocation.

- Update the documentation of 'max-query-restarts' in the man page.

- Fix for EDNS client subnet so that it does not store SERVFAIL in
  the global cache after a failed lookup, such as timeouts. A failure
  entry is stored in the subnet cache, for the query name, for a
  couple of seconds. Queries can continue to use the subnet cache
  during that time.

- Fix unused variable warning.

Changelog comment for #1408
- Merge #1408: Fix shared memory stats with threads.

Fix shared memory stats with threads (#1408)

* - stats-shm-volley, with mesh_time_median the additions add up to the correct
  average that is used.

* - stats-shm-volley, the stat interval is selected with offset.

* - stats-shm-volley, stat totals in separate struct. The first thread zeroes
  it, and the last thread copies it.

* - stats-shm-volley, the array is inited for a new round if one or more

* - stats-shm-volley, the array is inited for a new round if one or more
  threads are not responsive for stat collection.

* - stats-shm-volley review, typos and slightly more detailed text for comments.

---------

Co-authored-by: Yorgos Thessalonikefs <yorgos@nlnetlabs.nl>

- Fix defense in depth for service callback with empty packet.

- Fix test code to allow empty hex answer packets from testbound.

- Fix to allow the control-interface config to use ip@port notation.

- Fix to check for invalid http content length and chunk size,
  and to check the RR rdata field lengths when decompressing and
  inserting RRs from an authority zone transfer. This stops
  large memory use and heap buffer-overflow read errors. Thanks
  to Haruto Kimura (Stella) for the report.

- Fix for testcode pktview to check buffer size and log errors.

- Fix to add tls-service-key to memory printout for fast_reload.

- Fix detection of http listening port in fast_reload.

- For #278: fast_reload can reload tls-service-key, tls-service-pem
  and tls-cert-bundle changes. It checks the modification time of
  the tls-service-key and tls-service-pem files for update.

- iana portlist updated.

- Fix #278: DoT: complete unbound restart required on certificate
  renew. Fix so that a reload checks if the files have changed, and
  if so, reload the contexts. Also for DoH, DoQ and outgoing DoT.

- Fix to ignore out-of-zone DNAME records for CNAME synthesis. Thanks
  to Yuxiao Wu, Yiyi Wang, Zhang Chao, Baojun Liu, and Haixin Duan from
  Tsinghua University.

Changelog comment for #1418
- Merge #1418: Apply cache TTL policy to DNAME and synthesized
  CNAME on wire path.