Drop FreeBSD 11

Support for FreeBSD 11.4, the last FreeBSD 11.x release, ended on
September 30, 2021.

The "--with-readline" ./configure option has been added to gcc:sid:amd64
CI job; otherwise, it would be lost with the FreeBSD 11 removal.

Link: https://www.freebsd.org/security/unsupported/

Merge branch '3057-evp_digestsignfinal-needs-the-buffer-length-passed-in' into 'main'

Resolve "EVP_DigestSignFinal needs the buffer length passed in"

Closes #3057

See merge request isc-projects/bind9!5642

Add CHANGES for [GL #3057]

Pass the digest buffer length to EVP_DigestSignFinal

OpenSSL 3.0.1 does not accept 0 as a digest buffer length when
calling EVP_DigestSignFinal as it now checks that the digest buffer
length is large enough for the digest.  Pass the digest buffer
length instead.

Merge branch 'mnowak/alpine-3.15' into 'main'

Add Alpine Linux 3.15

See merge request isc-projects/bind9!5595

Add Alpine Linux 3.15

Merge branch 'pspacek/ci-api-triggers' into 'main'

Enable regular pipeline jobs to be triggered from Gitlab API

See merge request isc-projects/bind9!5648

Enable regular pipeline jobs to be triggered from Gitlab API

Merge branch 'v9_17_21-release' into 'main'

Merge 9.17.21 release branch

See merge request isc-projects/bind9!5644

Set up release notes for BIND 9.17.22

Update BIND version to 9.17.21

Add a CHANGES marker

Merge branch 'michal/prepare-documentation-for-bind-9.17.21' into 'v9_17_21-release'

Prepare documentation for BIND 9.17.21

See merge request isc-private/bind9!338

Prepare release notes for BIND 9.17.21

Reorder release notes

Mention GL #3040 in the release notes

Add release note for GL #853

Tweak and reword release notes

Tweak recent additions to the ARM

Merge branch 'mnowak/respdiff-add-third-party-server-support' into 'main'

Add respdiff jobs with third-party recursors

See merge request isc-projects/bind9!5355

Add respdiff job with third-party recursors

The order of directories with reference and test BIND 9 are now reversed
for respdiff.sh.

Drop unnecessary dependency on the tarball-create job.

The data.mdb file has more than 10 GB and makes artifact download take
an unnecessarily long time.

Merge branch '2398-adjust-the-dns_message-mempools' into 'main'

Reduce freemax values for dns_message mempools

Closes #2398

See merge request isc-projects/bind9!5646

Reduce freemax values for dns_message mempools

It was discovered that NAME_FREEMAX and RDATASET_FREEMAX was based on
the NAME_FILLCOUNT and RDATASET_FILLCOUNT respectively multiplied by 8
and then when used in isc_mempool_setfreemax, the value would be again
multiplied by 32.

Keep the 8 multiplier in the #define and remove the 32 multiplier as it
was kept in error.  The default fillcount can fit 99.99% of the requests
under normal circumstances, so we don't need to keep that many free
items on the mempool.

Merge branch '3055-examine-netlink-messages' into 'main'

Resolve #3055 by examining RTM_NEWADDR, RTM_DELADDR messages contents

Closes #3056 and #3055

See merge request isc-projects/bind9!5638

Modify CHANGES [GL #3055]

Mention that we try to avoid spurious interface re-scans on Linux.

remove ns_interface reference counting

reference counting of ns_interface objects has not been used
since the clientmgr cleanup in #2433, and it no longer really
makes sense now - when we want to destroy an interface on a
rescan, we want it to be destroyed, not kept active by some
other caller. so ns_interface_attach() has been removed,
ns_interface_detach() has been replaced with a static
interface_destroy(), and do_scan() has been simplified
accordingly.

keep track of non-listening interfaces

previously, if "listen-on-v6" was set to "none", then every
time a scan saw an IPv6 address it would appear to be a new
one.  this commit retains all known interfaces in a list
and sets a flag in the ones that are listening, so that
configured interfaces that have been seen before will be
recognized as such.

as an incidental fix, the ns__interfacemgr_getif() and _nextif()
functions have been removed since they were never used.

Examine RTM_NEWADDR, RTM_DELADDR messages contents

This commit modifies the NetLink handling code in such a way
that the contents of the messages we are interested in is checked
for the local addresses changes only. This helps to avoid spurious
interface re-scans.

The 'route_recv' log messages are also reduced from DEBUG(3) to
DEBUG(9).

Merge branch 'ondrej/fix-isc_mem_setname-usage' into 'main'

Set the clientmgr isc_mem_t context name

See merge request isc-projects/bind9!5639

Set the clientmgr isc_mem_t context name

The memory context created in the clientmgr context was missing a name,
so it was nameless in the memory context statistics.

Set the clientmgr memory context name to "clientmgr".

Merge branch '2886-drop-cppcheck' into 'main'

Drop cppcheck

Closes #2886 and #2698

See merge request isc-projects/bind9!5574

Add CHANGES note for [GL #2886]

Drop cppcheck workarounds

As cppcheck was removed from the CI, associated workarounds and
suppressions are not required anymore.

Drop cppcheck CI job

Every cppcheck update brings the cost of addressing new false positives
in the BIND 9 source code while not reaping any benefits in case of
identified issues with the code.

Merge branch '3056-interface-scan-tls-https-recreate-only-when-reconfiguring' into 'main'

Recreate HTTPS and TLS interfaces only during reconfiguration

Closes #3056

See merge request isc-projects/bind9!5636

Recreate HTTPS and TLS interfaces only during reconfiguration

The 850e9e59bf8c29f895a981211c72c0b3c294bcfd commit intended to recreate
the HTTPS and TLS interfaces during reconfiguration, but they are being
recreated also during regular interface re-scans.

Make sure the HTTPS and TLS interfaces are being recreated only during
reconfiguration.

Merge branch '3053-tls-listeners-recreate-on-reconfiguration' into 'main'

Recreate TLS interfaces during reconfiguration

Closes #3053

See merge request isc-projects/bind9!5634

Add system test for checking TLS interfaces after a reconfiguration

Add CHANGES for [GL #3053]

Recreate TLS interfaces during reconfiguration

For DoH and DoT listeners, a reconfiguration event triggers a creation
of a new 'SSL_CTX' TLS context, and a destruction of the old one.

The network manager, though, keeps using the old context which causes
errors.

During interface scanning, when a matching existing interface is found,
reuse it only when it doesn't have a TLS context, otherwise shut it down
and recreate with a new TLS context.

Merge branch 'matthijs/pemensik-bug-main-isdir-error-rhbz490837' into 'main'

Improve error message when directory name is given

See merge request isc-projects/bind9!5633

Improve error message when directory name is given

Surprising error IO error is returned when directory name
is given instead of named.conf file. It can be passed to named-checkconf
or include statement. Make a simple change to return Invalid file
instead. Still not precise, but much better error message is returned.

Fix of rhbz#490837.

Merge branch 'michal/remove-mutex-profiling-code' into 'main'

Remove mutex profiling code

See merge request isc-projects/bind9!5629

Remove mutex debugging code

Mutex debugging code (used when the ISC_MUTEX_DEBUG preprocessor macro
is set to 1 and PTHREAD_MUTEX_ERRORCHECK is defined) has been broken for
the past 3 years (since commit 2f3eee5a4fdad6606135116c70875b3180c7ed83)
and nobody complained, which is a strong indication that this code is
not being used these days any more.  External tools for detecting
locking issues are already wired into various GitLab CI checks.  Drop
all code depending on the ISC_MUTEX_DEBUG preprocessor macro being set.

Remove mutex profiling code

Mutex profiling code (used when the ISC_MUTEX_PROFILE preprocessor macro
is set to 1) has been broken for the past 3 years (since commit
0bed9bfc28a204cde57c6f68170ecc89ebfa6dc8) and nobody complained, which
is a strong indication that this code is not being used these days any
more.  External tools for both measuring performance and detecting
locking issues are already wired into various GitLab CI checks.  Drop
all code depending on the ISC_MUTEX_PROFILE preprocessor macro being
set.

Merge branch '3042-tcp-hang' into 'main'

prevent a shutdown hang on non-matching TCP responses

Closes #3042

See merge request isc-projects/bind9!5616

CHANGES for [GL #3042]

add system test for a no-questions reply over TCP

incidental cleanups

the 'dipsatchmgr->state' was never set, so the MGR_IS_SHUTTINGDOWN
macro was always false. both of these have been removed.

renamed the 'dispatch->state' field to 'tcpstate' to make its purpose
less ambiguous.

changed an FCTXTRACE log message from "response did not match question"
to the more correctly descriptive "invalid question section".

prevent a shutdown hang on non-matching TCP responses

When a non-matching DNS response is received by the resolver,
it calls dns_dispatch_getnext() to resume reading. This is necessary
for UDP but not for TCP, because TCP connections automatically
resume reading after any valid DNS response.

This commit adds a 'tcpreading' flag to TCP dispatches, so that
`dispatch_getnext()` can be called multiple times without subsequent
calls having any effect.

Merge branch '3051-missing-destroy-for-pthread-primitives' into 'main'

Stop leaking mutex in nmworker and cond in nm socket

Closes #3051

See merge request isc-projects/bind9!5622

Add CHANGES and release not for [GL #3051]

Stop leaking mutex in nmworker and cond in nm socket

On FreeBSD, the pthread primitives are not solely allocated on stack,
but part of the object lives on the heap.  Missing pthread_*_destroy
causes the heap memory to grow and in case of fast lived object it's
possible to run out-of-memory.

Properly destroy the leaking mutex (worker->lock) and
the leaking condition (sock->cond).

Merge branch '3048-fix-isc_hp-initialization' into 'main'

Fix the isc_hp initialization and memory usage

Closes #3048

See merge request isc-projects/bind9!5620

Reduce the number of hazard pointers

Previously, we set the number of the hazard pointers to be 4 times the
number of workers because the dispatch ran on the old socket code.
Since the old socket code was removed there's a smaller number of
threads, namely:

 - 1 main thread
 - 1 timer thread
 - <n> netmgr threads
 - <n> threadpool threads

Set the number of hazard pointers to 2 + 2 * workers.

Fix the isc_hp initialization and memory usage

Previously, the isc_hp_init() could not lower the value of
isc__hp_max_threads, but because of a mistake the isc__hp_max_threads
would be set to HP_MAX_THREADS (e.g. 128 threads) thus it would be
always set to 128.  This would result in increased memory usage even
when small number of workers were in use.

Change the default value of isc__hp_max_threads to be 1.

Additionally, enforce the max_hps value in isc_hp_new() to be smaller or
equal to HP_MAX_HPS.  The only user is isc_queue which uses just 1
hazard pointer, so it's only theoretical issue.

Merge branch '1265-deprecate-broken-nsec' into 'main'

Mark broken-nsec option as deprecated

See merge request isc-projects/bind9!5618

Mark broken-nsec option as deprecated

It's unclear if we are going to keep it or not, so let's mark it as
deprecated for a good measure. It's easier to un-deprecate it than the
other way around.

Merge branch '3040-restore-the-fetch-context-expiry-timer' into 'main'

Restore the fetch context expiry timer

Closes #3040

See merge request isc-projects/bind9!5612

CHANGES for [GL #3040]

restore the fetch lifetime timer

the lifetime expiry timer for the fetch context was removed
when we switched to using in-band netmgr timeouts. however,
it turns out some dependency loops can occur between a fetch
and the ADB the validator; these deadlocks were formerly broken
when the timer fired, and now there's no timer. we can fix these
errors individually, but in the meantime we don't want the server
to get hung at shutdown because of dangling fetches.

this commit puts back a single timer, which fires two seconds
after the fetch should have completed, and shuts it down. it also
logs a message at level INFO so we know about the problems when
they occur.

Merge branch '1265-bind-9-14-option-synth-from-dnssec-causing-high-cpu-consumption-and-degraded-client-experience' into 'main'

Rework rbtdb.c:find_coveringnsec to use shadow NSEC tree

Closes #1265

See merge request isc-projects/bind9!5446

Clarify that NSEC3 is not supported by synth-from-dnssec yet

Check reject-000-label

Reject NSEC records with next field with \000 label

A number of DNS implementation produce NSEC records with bad type
maps that don't contain types that exist at the name leading to
NODATA responses being synthesize instead of the records in the
zone.  NSEC records with these bad type maps often have the NSEC
NSEC field set to '\000.QNAME'.  We look for the first label of
this pattern.

e.g.
example.com NSEC \000.example.com SOA NS NSEC RRSIG
example.com RRRSIG NSEC ...
example.com SOA ...
example.com RRRSIG SOA ...
example.com NS ...
example.com RRRSIG NS ...
example.com A ...
example.com RRRSIG A ...

A is missing from the type map.

This introduces a temporary option 'reject-000-label' to control
this behaviour.

Check SOA without DNSKEY behaviour

Check 'server { broken-nsec yes; };'

Add server christmas tree test

This sets as many server options as possible at once to detect
cut-and-paste bugs when implementing new server options in peer.c.
Most of the accessor functions are similar and it is easy to miss
updating a macro name or structure element name when adding new
accessor functions.

checkconf/setup.sh is there to minimise the difference to branches
with optional server options where the list is updated at runtime.

Allow servers that emit broken NSEC records to be identified

'server <prefix> { broken-nsec yes; };' can now be used to stop
NSEC records from negative responses from servers in the given
prefix being cached and hence available to synth-from-dnssec.

Check that SOA and DNSKEY are consistent in NSEC typemaps

If there is a SOA record present then there should also be a
DNSKEY record present as the DNSKEY is supposed to live at the
zone apex like the SOA.

Add data lookups into nodata tests

Check synthesis of wildcard NODATA with 2 NSEC

Look for covering NSEC under two more conditions

1) when after processing a node there where no headers that
   contained active records.

   When

       if (check_stale_header(node, header, &locktype, lock, &search,
      &header_prev);

   succeeds or

       if (EXISTS(header) && !ANCIENT(header))

   fails for all entries in the list leading to 'empty_node' remaining
   true.

   If there is are no active records we know nothing about the
   current state of the name so we treat is as ISC_R_NOTFOUND.

2) when there was a covering NOQNAME proof found or all the
   active headers where negative.

   When

if (header->noqname != NULL &&
    header->trust == dns_trust_secure)

   succeeds or

if (!NEGATIVE(header))

   never succeeds.  Under these conditions there could (should be for
   found_noqname) be a covering NSEC earlier in the tree.

Check synthesis of wildcard NODATA with 1 NSEC

Add synthesis of NODATA at wildcard

The old code rejected NSEC that proved the wildcard name existed
(exists).  The new code rejects NSEC that prove that the wildcard
name exists and that the type exists (exists && data) but accept
NSEC that prove the wildcard name exists.

query_synthnxdomain (renamed query_synthnxdomainnodata) already
took the NSEC records and added the correct records to the message
body for NXDOMAIN or NODATA responses with the above change.  The
only additional change needed was to ensure the correct RCODE is
set.

Add CHANGES and release note for [GL #1265]

Ignore NSEC records without RRSIG and NSEC present

dns_nsec_noexistnodata now checks that RRSIG and NSEC are
present in the type map.  Both types should be present in
a correctly constructed NSEC record.  This check is in
addition to similar checks in resolver.c and validator.c.

Add dns_nsec_requiredtypespresent

checks an NSEC rdataset to ensure that both NSEC and RRSIG are
present in the type map.  These types are required for the NSEC
to be valid

Check 'rndc stats' output for 'cache NSEC auxiliary database nodes'

Check synth-from-dnssec JSON counters

Check synth-from-dnssec XML counters

Check reported synthesized responses in named.stats

Correct spelling of synthesized

Check 'rndc stats' output for 'covering nsec returned'

Record how often DNS_R_COVERINGNSEC is returned from the cache

reported as "covering nsec returned" when dumping cache stats
and as "CoveringNSEC" in json and xml cache statistics.

Restore 'synth-from-dnssec yes;' as the default

Report Cache NSEC auxilary database size

Extend dns_db_nodecount to access auxilary rbt node counts

dns_db_nodecount can now be used to get counts from the auxilary
rbt databases.  The existing node count is returned by
tree=dns_dbtree_main.  The nsec and nsec3 node counts by dns_dbtree_nsec
and dns_dbtree_nsec3 respectively.

Check Cloudflare "black lies" response

"black lies" with a different QTYPE should synthesis NODATA responses.

Allow "black lies" to be cached

"black lies" differ from "white lies" in that the owner name of the
NSEC record matches the QNAME and the intent is to return NODATA
instead of NXDOMAIN for all types.  Caching this NSEC does not lead
to unexpected behaviour on synthesis when the QNAME matches the
NSEC owner which it does for the the general "white lie" response.

"black lie" QNAME NSEC \000.QNAME NSEC RRSIG

"white lie" QNAME- NSEC QNAME+ NSEC RRSIG

where QNAME- is a name that is close to QNAME but sorts before QNAME
and QNAME+ is a that is close to QNAME but sorts after QNAME.

Black lies are safe to cache as they don't bring into existence
names that are not intended to exist.  "Black lies" intentional change
NXDOMAIN to NODATA. "White lies" bring QNAME- into existence and named
would synthesis NODATA for QNAME+ if it is queried for that name
instead of discovering the, presumable, NXDOMAIN response.

Note rejection NSEC RRsets with NEXT names starting with the label
'\000' renders this change ineffective (see reject-000-label).

Check that minimal NSEC records are not cached

construct a test zone which contains a minimal NSEC record,
emit priming queries for this record, and then check that
a respose that would be synthesised from it isn't.

Do not cache minimal NSEC records (NSEC + RRSIG only)

these are not useful for dnssec synthesis as they can result in
false NODATA responses and just consume cache memory

Extend synthfromdnssec to test with dnssec validation disabled

Extend synthfromdnssec to check insecure responses

add matching tests against a insecure zone to those which
which are synthesised.

Remove unnecessary dns_rbt_fullnamefromnode call

the results from dns_rbt_fullnamefromnode are not used.

Extend checking of synthesised respones

add digcomp checks to cover wildcard and cname wildcard case
(nxdomain and nodata already covered)

Count DNS_R_COVERINGNSEC as a cache {query}hit

Note when synthesising answer involving wildcards we look in the
cache multiple times, once for the QNAME and once for the wildcard
name which is constucted by looking at the names from the covering
NSEC return by the QNAME miss.

Add additional checks that upstream queries are not made

Check the named.run of authorative server that queries for the
synthesis target name are only made when expected and not when
unexpected.

Check synthesis of CNAME record from wildcard CNAME

Check synthesis of A record from wildcard A