Flag missing CVE identifiers

Make Danger ensure that if a merge request fixes a security issue then
that merge request includes a CHANGES entry and a release note, both of
which contain a CVE identifier.

Merge branch '2364-cid314969-coverity-deadcode-zoneconf' into 'main'

Fix control flow issue CID 314969 in zoneconf.c

Closes #2364

See merge request isc-projects/bind9!4573

Fix control flow issue CID 314969 in zoneconf.c

Coverity Scan identified the following issue in bin/named/zoneconf.c:

    *** CID 314969:  Control flow issues  (DEADCODE)
    /bin/named/zoneconf.c: 2212 in named_zone_inlinesigning()

    if (!inline_signing && !zone_is_dynamic &&
        cfg_map_get(zoptions, "dnssec-policy", &signing) == ISC_R_SUCCESS &&
        signing != NULL)
    {
        if (strcmp(cfg_obj_asstring(signing), "none") != 0) {
            inline_signing = true;
    >>>     CID 314969:  Control flow issues  (DEADCODE)
    >>>     Execution cannot reach the expression ""no"" inside this statement: "dns_zone_log(zone, 1, "inli...".
            dns_zone_log(
                zone, ISC_LOG_DEBUG(1), "inline-signing: %s",
                inline_signing
                ? "implicitly through dnssec-policy"
                : "no");
        } else {
                ...
        }
    }

This is because we first set 'inline_signing = true' and then check
its value in 'dns_zone_log'.

Merge branch '2354-placeholder' into 'main'

Add placeholder for GL #2354

Closes #2354

See merge request isc-projects/bind9!4564

Add placeholder for GL #2354

Merge branch '2383-kasp-sig-validity-dnskey-bug' into 'main'

Fix signatures-validity config option

Closes #2383

See merge request isc-projects/bind9!4543

Fix signatures-validity config option

KASP was using 'signatures-validity-dnskey' instead of
'signatures-validity'.

Merge branch 'mnowak/fix-copyright-date-in-man-pages' into 'main'

Update copyright date in man pages

See merge request isc-projects/bind9!4548

Update copyright date in man pages

Make sure ddns-confgen man page stays up to date

Merge branch 'matthijs-fix-notes' into 'main'

Fix current release notes

See merge request isc-projects/bind9!4549

Fix current release notes

Remove entry that was release in 9.17.8 already.

Merge branch '2248-serve-stale-config-defaults' into 'main'

Update serve-stale config defaults

Closes #2248

See merge request isc-projects/bind9!4477

Update serve-stale system test with new defaults

Update serve-stale config defaults

Change the serve-stale configuration defaults so that they match the
recommendations from RFC 8767.

Merge branch '606-add-the-isc-dnssec-guide-as-a-bind-9-arm-appendix' into 'main'

Add the ISC DNSSEC Guide as a BIND 9 ARM appendix

Closes #606

See merge request isc-projects/bind9!4471

Add the ISC DNSSEC Guide as a BIND 9 ARM appendix

Add the ISC DNSSEC Guide to the BIND 9 ARM in order to include the
former in every BIND release.

Merge branch '2366-add-CHANGES-entry' into 'main'

Add CHANGES entry for GL #2366

Closes #2366

See merge request isc-projects/bind9!4544

Add CHANGES entry for GL #2366

Merge branch 'marka-explicitly-add-gen.c' into 'main'

Explicitly add gen.c and gen-unix.h to dist

See merge request isc-projects/bind9!4538

Explicitly add gen.c and gen-unix.h to dist

Merge branch '1978-cross-compilation-doesn-t-work-in-9-17' into 'main'

Resolve "Cross-compilation doesn’t work in 9.17"

Closes #1978

See merge request isc-projects/bind9!4505

don't enable maintainer mode when cross compiling

lib/dns/gen should be built with CC_FOR_BUILD

Merge branch 'jinmei-bind9-fix-async-hook-assertion-failure' into 'main'

fix async hook assertion failure

Closes #2379

See merge request isc-projects/bind9!4537

CHANGES

more s/recurse/async/ for consistency

(no behavior change)

detach fetchhandle before resume query processing

otherwise, another hook async event or DNS recursion would
trigger an assertion failure.

Merge branch '2366-bind-9-16-10-build-fails-with-libmaxminddb-1-4-3-2' into 'main'

Resolve "BIND 9.16.10 build fails with libmaxminddb-1.4.3"

Closes #2366

See merge request isc-projects/bind9!4532

Fix 'configure --with-maxminddb=<path>'

Merge branch '2355-incorrect-increment-of-inactive-in-rbtdb-c-maybe_free_rbtdb' into 'main'

Resolve "Incorrect increment of inactive in rbtdb.c:maybe_free_rbtdb()"

Closes #2317 and #2355

See merge request isc-projects/bind9!4504

Add release note

Add CHANGES

Inactive incorrectly incremented

It is possible to have two threads destroying an rbtdb at the same
time when detachnode() executes and removes the last reference to
a node between exiting being set to true for the node and testing
if the references are zero in maybe_free_rbtdb().  Move NODE_UNLOCK()
to after checking if references is zero to prevent detachnode()
changing the reference count too early.

Merge branch '2359-too-many-newlines-dnssec-signzone-verify' into 'main'

Fix dnssec-signzone and -verify logging (again)

Closes #2359

See merge request isc-projects/bind9!4523

Fix dnssec-signzone and -verify logging (again)

While fixing #2359, 'report()' was changed so that it would print the
newline.

Newlines were missing from the output of 'dnssec-signzone'
and 'dnssec-verify' because change
664b8f04f5f2322086138f5eda5899a62bcc019b moved the printing from
newlines to the library.

This had to be reverted because this also would print redundant
newlines in logfiles.

While doing the revert, some newlines in 'lib/dns/zoneverify.c'
were left in place, now making 'dnssec-signzone' and 'dnssec-verify'
print too many newlines.

This commit removes those newlines, so that the output looks nice
again.

Merge branch 'marka-placeholder' into 'main'

placeholder

See merge request isc-projects/bind9!4521

placeholder

Merge branch '2359-missing-newlines-in-log-messages-dnssec-signzone-dnssec-verify-c' into 'main'

Resolve "missing newlines in log messages dnssec-signzone/dnssec-verify"

Closes #2359

See merge request isc-projects/bind9!4511

Add CHANGES

Fix dnssec-signzone and dnssec-verify logging

The newlines need to be appended to the messages generated by report
in a atomic manner.

Merge branch 'marka-copyrights' into 'main'

update for 2021

See merge request isc-projects/bind9!4518

update for 2021

Merge branch 'matthijs-fixup-notes' into 'main'

Matthijs fixup notes

See merge request isc-projects/bind9!4512

Fixup notes

I screwed up the notes in !4474

Merge branch '1750-dnssec-policy-none' into 'main'

Resolve 'dnssec-policy' graceful transition to insecure

Closes #2341 and #1750

See merge request isc-projects/bind9!4474

Add notes for [#2341]

Mention the bugfix in the release.

Add documentation and notes for [#1750]

Fix a quirky mkeys test failure

The mkeys system test started to fail after introducing support for
zones transitioning to unsigned without going bogus. This is because
there was actually a bug in the code: if you reconfigure a zone and
remove the "auto-dnssec" option, the zone is actually still DNSSEC
maintained. This is because in zoneconf.c there is no call
to 'dns_zone_setkeyopt()' if the configuration option is not used
(cfg_map_get(zoptions, "auto-dnssec", &obj) will return an error).

The mkeys system test implicitly relied on this bug: initially the
root zone is being DNSSEC maintained, then at some point it needs to
reset the root zone in order to prepare for some tests with bad
signatures. Because it needs to inject a bad signature, 'auto-dnssec'
is removed from the configuration.

The test pass but for the wrong reasons:

I:mkeys:reset the root server
I:mkeys:reinitialize trust anchors
I:mkeys:check positive validation (18)

The 'check positive validation' test works because the zone is still
DNSSEC maintained: The DNSSEC records in the signed root zone file on
disk are being ignored.

After fixing the bug/introducing graceful transition to insecure,
the root zone is no longer DNSSEC maintained after the reconfig.

The zone now explicitly needs to be reloaded because otherwise the
'check positive validation' test works against an old version of the
zone (the one with all the revoked keys), and the test will obviously
fail.

Update keymgr to allow transition to insecure mode

The keymgr prevented zones from going to insecure mode. If we
have a policy with an empty key list this is a signal that the zone
wants to go back to insecure mode. In this case allow one extra state
transition to be valid when checking for DNSSEC safety.

Publish CDS/CDNSKEY Delete Records

Check if zone is transitioning from secure to insecure. If so,
delete the CDS/CDNSKEY records, otherwise make sure they are not
part of the RRset.

Treat dnssec-policy "none" as a builtin zone

Configure "none" as a builtin policy. Change the 'cfg_kasp_fromconfig'
api so that the 'name' will determine what policy needs to be
configured.

When transitioning a zone from secure to insecure, there will be
cases when a zone with no DNSSEC policy (dnssec-policy none) should
be using KASP. When there are key state files available, this is an
indication that the zone once was DNSSEC signed but is reconfigured
to become insecure.

If we would not run the keymgr, named would abruptly remove the
DNSSEC records from the zone, making the zone bogus. Therefore,
change the code such that a zone will use kasp if there is a valid
dnssec-policy configured, or if there are state files available.

Add function to see if dst key uses kasp

For purposes of zones transitioning back to insecure mode, it is
practical to see if related keys have a state file associated.

Small adjustments to kasp rndc_checkds function

Slightly better test output, and only call 'load keys' if the
'rndc checkds' call succeeded.

Add tests for going from secure to insecure

Add two test zones that will be reconfigured to go insecure, by
setting the 'dnssec-policy' option to 'none'.

One zone was using inline-signing (implicitly through dnssec-policy),
the other is a dynamic zone.

Two tweaks to the kasp system test are required: we need to set
when to except the CDS/CDS Delete Records, and we need to know
when we are dealing with a dynamic zone (because the logs to look for
are slightly different, inline-signing prints "(signed)" after the
zone name, dynamic zones do not).

Merge branch '2245-bind-9-16-8-does-not-honor-cpu-affinity' into 'main'

Resolve "bind 9.16.8 does not honor CPU affinity"

Closes #2245

See merge request isc-projects/bind9!4395

Add CHANGES and release notes for [GL #2245]

PYTHON may be null

When Python is not present, PYTHON=$(command -v "@PYTHON@") will exit
the script with 1, prevent that by adding "|| true".

Add test for cpu affinity

Add a test to check BIND 9 honors CPU affinity mask. This requires
some changes to the start script, to construct the named command.

Only pick CPUs that are part of the existing CPU affinity set when

assigning a thread to a CPU.

Merge branch '2348-bin-tools-mdig-compile-link-failure-because-of-missing-isccfg-dependency-3' into 'main'

Resolve "bin/tools/mdig: compile/link failure because of missing isccfg dependency"

Closes #2348

See merge request isc-projects/bind9!4497

Handle shared library platforms that don't support inter library dependancies

Reorder in library dependancy order

Merge branch 'jpmens-main-patch-60230' into 'main'

Adjust number of rule types from 13 to the 16 there are. (16 is accurately...

See merge request isc-projects/bind9!4507

Adjust number of rule types from 13 to the 16 there are. (16 is accurately specified further down in the section.)

Merge branch 'v9_17_8-release' into 'main'

Merge 9.17.8 release branch

See merge request isc-projects/bind9!4500

Set up release notes for BIND 9.17.9

Bump BIND_BASELINE_VERSION for ABI checks

Update BIND version to 9.17.8

Add a CHANGES marker

Update library API versions

Merge branch 'michal/prepare-release-notes-for-bind-9.17.8' into 'v9_17_8-release'

Prepare release notes for BIND 9.17.8

See merge request isc-private/bind9!224

Prepare release notes for BIND 9.17.8

Add release note for GL #2321

Add release note for GL #1816

Reorder release notes

Tweak and reword release notes

Tweak and reword recent CHANGES entries

Fix formatting of "dnssec-policy" documentation

Miscellaneous minor documentation updates

Merge branch 'mnowak/fix-rndc-8-reference-in-named-8-man-page' into 'main'

Fix a reference to rndc(8) in named(8) manual page

See merge request isc-projects/bind9!4478

Fix a reference to rndc(8) in named(8) manual page

Merge branch '2058-print-warning-when-fallback-to-soaserial-increment' into 'main'

Resolve "`dnssec-signzone -N unixtime` behaves like `increment`"

Closes #2058

See merge request isc-projects/bind9!4487

Add CHANGES and release notes for GL #2058

Update dnssec-signzone -N soa-serial-format description

document the autoincrement when the serial would go backwards.

Print warning when falling back to increment soa serial method

When using the `unixtime` or `date` method to update the SOA serial,
`named` and `dnssec-signzone` would silently fallback to `increment`
method to prevent the new serial number to be smaller than the old
serial number (using the serial number arithmetics).  Add a warning
message when such fallback happens.

Merge branch '385-add-a-built-in-ipv4only-arpa-default-zone' into 'main'

Resolve "Add a built-in ipv4only.arpa default zone."

Closes #385

See merge request isc-projects/bind9!479

Add CHANGES note

Add release note entry

Add RFC 7050 and RFC 8880 to rfc-compliance

Document ipv4only-enable, ipv4only-contact and ipv4only-server.

Generate PTR records for DNS64 mapped ipv4only.arpa reverses.

Rather than generating CNAMES records pointing into IN-ADDR.ARPA,
generate PTR records directly as the names are known as per RFC 8880.

Checking synthesis of AAAA of builtin ipv4only.arpa

Implement ipv4only.arpa forward and reverse zones as per RFC 8880.

Merge branch 'marka-placeholder' into 'main'

Add placeholders for [GL !4454] and [GL #2324]

See merge request isc-projects/bind9!4485

Add placeholders for [GL !4454] and [GL #2324]

Merge branch 'ondrej/release-notes-doesnt-need-copyright' into 'main'

Remove the requirement for the release notes to have copyright

See merge request isc-projects/bind9!4483

Remove the requirement for the release notes to have copyright

The release notes doesn't have to have copyright header, it doesn't add
any value there as the release notes are useless outside the project.

Merge branch 'ondrej/clang-format-11' into 'main'

Update the clang version to new stable llvm/clang 11

See merge request isc-projects/bind9!4003

Bump the clang version to 11 (stable)