Merge branch 'release-6.3.0' into 'master'

Release 6.3.0

See merge request knot/knot-resolver!1829

release 6.3.0

Merge !1828: lib/rules: warn about non-CNAME wildcards in RPZ

lib/rules: warn about non-CNAME wildcards in RPZ

Merge !1827: Fix price overflow caused by high price_factor in ratelimiting, defer

daemon/defer: rewrite BASE_PRICE macro to function

doc/user: Fix typo in rate-limiting

Fix price overflow in ratelimiting, defer

Merge !1818: ruledb: drop the MDB_WRITEMAP flag

ruledb: drop the MDB_WRITEMAP flag

I like the property of mapping this memory as read-only.
All writes should have been deferred to the policy-loader,
at least in normal operation.

Merge !1816: fix luajit includedir when cross-compiling

Fix luajit includedir when cross-compiling

The use of --variable=includedir for luajit doesn't include the
root-directory when cross-compiling.

Signed-off-by: Nicolas PARLANT <nicolas.parlant@parhuet.fr>

Merge !1817: lib/rules: fix KR_RULE_SUB_REDIRECT

lib/rules: fix KR_RULE_SUB_REDIRECT

It's not commonly used, but it caused SERVFAIL.
Example name: foo.localhost.
Broken since v6.0.13, merge 0f0404f26 in particular.

Merge !1819: lib/cache: trim TTL of failing stashed packets

lib/cache: trim TTL of failing stashed packets

In particular, in STUB mode
(i.e. forwarding with dnssec:false + authoritative:false)
if a SERVFAIL packet from upstream contained also records,
this packet could be cached with long TTL.

This issue was reported by Qifan Zhang from Palo Alto Networks.

Additionally, let's apply our TTL limits for caching also
to the `cache-control: max-age=` HTTP header sent in DoH replies.

Merge !1826: daemon/quic: fix a minor undefined behavior

daemon/quic: fix a minor undefined behavior

Perhaps a bit surprisingly, using a pointer after free()
results in undefined behavior, even if it is not dereferenced.
https://stackoverflow.com/a/69486412
Personally I wouldn't expect a practical problem here,
but fixing this non-compliance is trivial.

Merge !1824: controller: supervisord: disabled autorestart for policy-loader

Fixes #950

controller/supervisord: disable autorestart for policy loader

controller: added UNEXPECTED status to SubprocessStatus

Subprocess ends in an unexpected state when subprocess exit code is not 0.

Merge !1823: lib/rules/zonefile: print line number in case of error

lib/rules/zonefile: print line number in case of error

This is especially useful when debugging large RPZ files.

Merge !1814: distro/pkg/deb: apply most differences from downstream Debian

distro/pkg/deb: apply most differences from downstream Debian

I looked through the differences and sometimes checked
relevant docs or commits which introduced the differences.

Keeping on debhelper-compat 12, so that we don't have to
drop Ubuntu 20.04 which only ended the standard support phase
less than one year ago (and gets security support for 5-10 more).

Merge !1822: ci: pkg: updates for Ubuntu 26.04

daemon/http.c nit: fix const-warnings with C23

Interestingly, with C23, functions like strstr()
return a const-qualified pointer iff one was passed to them.
Right now we ran into this in Arch CI (unreleased gcc 15 version):
https://gitlab.nic.cz/knot/knot-resolver/-/jobs/1713767

tests/integration/deckard: updated with fix for pydnstest symlink

.gitlab-ci.yml: updated IMAGE_TAG

.gitlab-ci.yml: use Python 3.14 as default

.python-version: update versions

.gitlab-ci.yml: pkg:make-archive: use Ubuntu 26.04

Merge !1821: nit cleanups, mostly dropping knot_mm_t uses

cache nit: drop unused knot_mm_t* parameter

daemon nit: drop useless struct engine::pool

Memory pools are not suitable for this use case.

lib/resolve nit: drop unused struct kr_context::pool

struct kr_query: dissolve ::forward_flags

Many years ago it might've looked like a good idea
to have a copy of the whole flag-set to represent just two fags,
but nowadays it seems rather excessive and perhaps confusing.

Apart from being simple and more explicit,
this shrinks struct kr_query by 8 bytes (on x86_64).

Merge !1820: Fix outdated docs: files-watchdog -> watchdog

Fix outdated documentation: files-watchdog -> watchdog

Merge !1815: doc/user: document SVCB in rebinding module

doc/user: document SVCB in rebinding module (#948)

Merge !1813: doc/user /local-data/records: add a note about RPZs

Closes #947

doc/user /local-data/records: add a note about RPZs

doc/user /local-data: nest examples in corresponding options

Merge !1812: lib/rules: reflect `nodata:` setting in `rpz:` and `records:` settings

Fixes #945 and #946

lib/rules: reflect `nodata:` setting in `rpz:` and `records:` settings

Merge !1809: doc build fixes

meson: drop -Ddoc=auto

It wasn't doing anything (behaving like the default -Ddoc=disabled)
and it wasn't passed by anything I could find.

doc/meson: simplify checking of deps

This will give quite nice errors:
  doc/meson.build:39:19: ERROR: Command `/usr/bin/python3 -c 'import breathe'` failed with status 1.

pyproject.toml: add an extra dependency for docs

We tend to get into trouble here now sometimes
when in a clean-ish environment.

doc/meson: drop python2 support

When we run into trouble, it produces confusing errors:
  https://gitlab.nic.cz/knot/knot-resolver/-/jobs/1627828
and I really hope that python2 won't be useful here anymore.

Merge !1599: iterator: correctly handle cases of EDNS version != 0.

Fixes #404

nits around BADVERS

iterator: correctly handle cases of EDNS version != 0.

Answer with rcode BADVERS if the requested EDNS version is not supported
by libknot.

Merge !1810: distro/pkg/deb: fix cross-build

distro/pkg/deb: fix cross-build

Submitted as
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1127713

Merge !1808: lib/rules: support another RPZ feature

lib/rules: support another RPZ feature

Some people want to do blocking by "redirection" to a page, e.g. via
  *.some.name.  CNAME  block.page.

Merge !1811: lib/mmapped nit: avoid a warning

lib/mmapped nit: avoid a warning

https://gitlab.nic.cz/knot/knot-resolver/-/jobs/1660161#L80

Merge !1791: python: utils: python3.8 cleanup

python: applied changes from utils/* modules

utils/*.py: python3.8 cleanup

utils/compat: python3.8 cleanup

- removed old unused/unnecessary code
- removed unused typing.py module

Merge !1806: ci: update the list of distros

ci: update the list of distros

For context see apkg merge 214 (a09bff3b)

Merge branch 'release-6.2.0' into 'master'

Release 6.2.0

See merge request knot/knot-resolver!1805

release 6.2.0

Merge !1803: tweak handling of ANY and RRSIG in QTYPE

tweak handling of ANY and RRSIG in QTYPE

- advanced users can configure these QTYPEs on Lua level, e.g.
    option('QTYPE_ANY', true)
- fix handling these QTYPEs, e.g.
  - caching: as whole packet only (simple and "safer" here)
  - iterator wasn't finding ANY records in answer :-)
- I wanted to disable RRSIG by default, but let's delay that

Merge !1747: Implementation of server DNS over QUIC (RFC 9250)

datamodel: network: simplified QUIC template

datamodel: network: removed layer from QUICSchema

There is no reason for two layers here.

doc nits + NEWS item, for quic

meson: fix include in embedded libngtcp2 sometimes

In particular, on macOS in GitHub CI.
I tried `dependencies: [gnutls.partial_dependency(includes: true)]`
but that didn't work.  No idea why.

Merge master into doq-server

daemon/quic: adapt to libknot 3.6

For reference see what we did for the non-quic code in:
d0375933 80cf9eb1 c8ea4c07 (all MR 1769)

python/formating: nits

daemon/quic: fix linting warnings

- add types to fields of struct nc_conn_ref_placeholder_t
- comment out testing DOQ error code

make embedded quic lib work

This should also fix -Dquic=disabled
I'm now lazy to go fix it on the commits introducing it, too.

QUIC by default sizing (default nixos.org builds as reference):
 - with embedded ngtcp2* we grow the kresd binary by 344 KiB
 - with external ngtcp2* we grow the kresd binary by 40 KiB
   (while the external ngtcp2 package takes 472 KiB,
    libknot already depends on it, so it's not new)

libngtcp2: copy embedded v1.20.0 from knot master (d9f7ac6e378f)

make quic/DoQ optional

Merge branch 'utils-modeling-literals-fix' into 'master'

python: utils/modeling: fixed literals bug for python 3.8

See merge request knot/knot-resolver!1799

add NEWS entry for the parent commit

python: utils/modeling: fixed Literal bug for python 3.8

This fixes bug created in MR !1768 logging improvements.

Merge !1800: CI: Migrate respdiff from shortlist dataset to ODVR-based dataset

ci: disable respdiff diff-index guard

ci: run respdiff with a newer query dataset

Merge branch 'subprocess-command-decode' into 'master'

python: controller/interface.py: return full message if JSON load fails

See merge request knot/knot-resolver!1801

tests/packaging: tls_cert_watchdog.sh: added sleep for deletion/creation test

python: controller/interface.py: return full message if JSON load fails for Subprocess command result

Merge !1798: python: manager/files: do not reload TLS certificate files if they do not exist

Revert "tests/packaging/interactive: skip TLS certs watchdog tests"

This reverts commit 1c69b284fa270c49f2adad035f5050c7d8837278.

python: manager/files: do not reload TLS certificate files if they do not exist

This fixes a randomly occuring pkg test error mentioned in !1794.

Merge !1797: daemon/io: handle failed session data initialization

daemon/io_create() nits

daemon/io_create(): move session2_new_io out of io_create()

The motivation for this change is to unite the out parameter type to uv_handle_t

daemon/session2/session2_transport_event(): remove kr_fails_assert

When forwarding over DoT, an upstream that accepts a TCP connection
and immediately closes it triggers this assetion, because
the forwarder wasn't able to solve any waiting tasks.

daemon/io: handle failed session data initialization

Merge !1795: daemon/session: fix UDP answers without sendmmsg