- For #1441: Fix type of ipv6 addr struct.

Changelog entry for #1441.
- Merge #1441: Fix buffer overrun in
  doq_repinfo_retrieve_localaddr().

Fix buffer overrun in doq_repinfo_retrieve_localaddr() (#1441)

- Fix doxygen comment syntax.

- Set version number to 1.25.0 of code repository.

- Fix handling of wildcard CNAMEs in the chain of trust.
  An improper wildcard in the chain of trust would send
  the retries to the wrong upstream. Also it could label
  the step in the chain of trust as secure, when it was not.
  Thanks to Qifan Zhang, Palo Alto Networks for the report.

- Fix that a DNAME with an unsigned CNAME is checked for
  the correct match. This stops that for certain zone
  configurations an unchecked unsigned CNAME could get
  secure status. Thanks to Qifan Zhang, Palo Alto Networks
  for the report.

- Fix that signatures are not allowed with revoked dnskeys.
  Thanks to Qifan Zhang, Palo Alto Networks for the report.

- Fix that upstream TLS connections are not reused as TLS
  connections for a different name, at the same IP. This
  checks that the tls name is correct when reusing the
  upstream connections. Thanks to TaoFei Guo from Peking
  University and JianJun Chen from Tsinghua University for
  the report.

- Fix for missing bounds check for decompressing dnames
  for downloaded authority zones. This fixes that the server
  could end up with malformed zone content after receiving
  truncated packet contents from an AXFR. In addition, the
  domain names in the SOA rdata are checked before the
  authority code picks up the zone serial.
  Thanks to Halil Oktay for the report.

- Fix for iterator RCODE handling of YXDOMAIN. This fixes
  that the server only accepts YXDOMAIN answers that contain
  a DNAME record. This stops bad answers, and checks that
  the authoritative server gives correct replies.
  Thanks to Qifan Zhang, Palo Alto Networks for the report.

- Fix EDNS extended RCODE reflection. This fixes that
  the server does not echo extended rcode values after class
  chaos queries. Thanks to Qifan Zhang, Palo Alto Networks
  for the report.

- Fix for the Jiggle Attack. The server is fixed to answer
  with errors for error cases, and does not stay silent.
  In addition, the error replies do not contain parts of the
  incoming query. This is more conformant, stops reflection
  and stops it as a covert channel. Thanks to Yuqi Qiu and
  Xiang Li, Nankai University (AOSP Lab) for the report.
  In addition, thanks to Qifan Zhang, Palo Alto Networks, for
  noting the fingerprinting possibility, that is also fixed
  with this.

- Add test case for malformed SVCB records. Thanks to
  Qifan Zhang, Palo Alto Networks for the additional test.

- Fix test with https zone for libressl.

- Fix unused variable warning when compiled without ssl.

- Fix compile warnings for thread setname routine, and test compile.

- Fix pthread_setname detection to fail on warnings.

- Update generated configure, with autoconf.

- Update generated man pages.

Changelog entry for #1400:
- Merge #1400: Support pthread_setname_np.

Merge branch 'features/pthread-setname'

- Fix subnet store of servfail to not leak memory.

- Fix ttl comparisons in rdata_copy for 32bit signed or unsigned.

- Fix to increase size of the buffer for the win_svc reportev log
  function.

- Fix compat/gmtime_r old style definition syntax.

- Fix compat/chacha_private sigma and tau definitions to use
  nonstring attribute.

- Update github ci cross platform to use
  cross-platform-actions/action@v1.0.0.
- Fix github ci to speed up with parralel build, for windows ci.

- Update github ci to use actions/checkout@v6.

- Fix to compile the shm code when there is no shmget.

- Fix setup of ssl context copy, to check for the tls service
  pem option for stat calls.

- Fix setup of ssl context copy of the tls service pem option,
  from a clang analyzer warning.

- Fix cleaning up DoH session. The same query can be on multiple
  streams in a session.

- Fix configure, autoconf for #1406.

Changelog entry for #1406:
- Merge #1406: Introduce new 'tls-protocols' configuration option.

Introduce new 'tls-protocols' configuration option (#1406)

- Introduce new 'tls-protocols' configuration option that specifies
  which of the supported TLS protocols will be used.
  This change invalidates some previous changes:
- TLSv1.2 is again enabled by default, but can be selectively turned off if
  desired (related to #1303).
- The biefly introduced (not yet released) 'tls-use-system-versions'
  configuration option, that addressed #1346, is reverted in favor of
  'tls-protocols'.
- The briefly introduced (not yet released) '--enable-system-tls'
  configure option, related to #1401, is no longer needed with the new
  option and the current default.

- Review comment for checking out of memory condition

Co-authored-by: Wouter Wijngaards <wcawijngaards@users.noreply.github.com>

- Fix to shorten RRSIG count in scrubber, this protects against
  an overly large number of RRSIGs. It can be configured with
  `iter-scrub-rrsig: 8`, it has default 8. Thanks to Yuxiao Wu,
  Tsinghua University for the report.

- Fix RFC7766 compliance when client sends EOF over TCP. It stops
  pending replies and closes. Thanks to Yuxiao Wu, Tsinghua
  University for the report.

- iana portlist updated.

- Fix clang analyzer warning for subnetmod, when return_msg is
  NULL for update cache, like when it stores servfail status.

- Fix #1017: memory corruption related core dumps.
  When alloc_reg_obtain has an empty list, return a new allocation.

- Update the documentation of 'max-query-restarts' in the man page.

- Fix for EDNS client subnet so that it does not store SERVFAIL in
  the global cache after a failed lookup, such as timeouts. A failure
  entry is stored in the subnet cache, for the query name, for a
  couple of seconds. Queries can continue to use the subnet cache
  during that time.

- Fix unused variable warning.

Changelog comment for #1408
- Merge #1408: Fix shared memory stats with threads.

Fix shared memory stats with threads (#1408)

* - stats-shm-volley, with mesh_time_median the additions add up to the correct
  average that is used.

* - stats-shm-volley, the stat interval is selected with offset.

* - stats-shm-volley, stat totals in separate struct. The first thread zeroes
  it, and the last thread copies it.

* - stats-shm-volley, the array is inited for a new round if one or more

* - stats-shm-volley, the array is inited for a new round if one or more
  threads are not responsive for stat collection.

* - stats-shm-volley review, typos and slightly more detailed text for comments.

---------

Co-authored-by: Yorgos Thessalonikefs <yorgos@nlnetlabs.nl>

- Fix defense in depth for service callback with empty packet.

- Fix test code to allow empty hex answer packets from testbound.

- Fix to allow the control-interface config to use ip@port notation.

- Fix to check for invalid http content length and chunk size,
  and to check the RR rdata field lengths when decompressing and
  inserting RRs from an authority zone transfer. This stops
  large memory use and heap buffer-overflow read errors. Thanks
  to Haruto Kimura (Stella) for the report.

- Fix for testcode pktview to check buffer size and log errors.

- Fix to add tls-service-key to memory printout for fast_reload.

- Fix detection of http listening port in fast_reload.

- For #278: fast_reload can reload tls-service-key, tls-service-pem
  and tls-cert-bundle changes. It checks the modification time of
  the tls-service-key and tls-service-pem files for update.

- iana portlist updated.

- Fix #278: DoT: complete unbound restart required on certificate
  renew. Fix so that a reload checks if the files have changed, and
  if so, reload the contexts. Also for DoH, DoQ and outgoing DoT.

- Fix to ignore out-of-zone DNAME records for CNAME synthesis. Thanks
  to Yuxiao Wu, Yiyi Wang, Zhang Chao, Baojun Liu, and Haixin Duan from
  Tsinghua University.

Changelog comment for #1418
- Merge #1418: Apply cache TTL policy to DNAME and synthesized
  CNAME on wire path.

Apply cache TTL policy to DNAME and synthesized CNAME on wire path (#1418)

When the scrubber synthesizes a CNAME from a DNAME (authority omits CNAME),
apply cache-min-ttl/cache-max-ttl to both DNAME and synthesized CNAME in
msg_parse so they stay equal and respect config (RFC 6672).

- iterator/iter_scrub.c: In synth_cname_rrset(), clamp TTL to [MIN_TTL,
  MAX_TTL] when !SERVE_ORIGINAL_TTL and write back to both synth CNAME
  and DNAME rrset. Removes FIXME.

- Fix compile failure in unbound-checkconf for older gcc compiler.

- Constrain the explicit macros for remote.c:fr_atomic_copy_cfg().

- Warn for unused 'nodefault' local-zone configuration in
  unbound-checkconf (related to #1416).

- Document the suggestion for a higher value for 'outgoing-range';
  helps when the request list is full.

Changelog entry for #1415
- Merge #1415: Add lock unlock for view in memory error handling.

Add lock unlock for view in memory error handling (#1415)

view->lock would be skipped during an out of memory error bailout.

- Update generated man pages.

- Fix for DNS Rebinding Bypass via SVCB/HTTPS Records in Unbound.
  Thanks to Kunta Chu, School of Software, Tsinghua University,
  Taofei Guo, Peking University, and Jianjun Chen, Institute for
  Network Sciences and Cyberspace, Tsinghua University for the
  report. The private-address option is fixed to also elide
  SVCB and HTTPS records that match the filter.

- For #1411: Introduce a failing case in the rpl test so that it only
  passes with the fix in place.

- For #1411: Fix that the lookup for DNAME uses flag. Fix assertion
  in expired calc debug routine.

For #1411, fix up doc/Changelog.

Allow synthesized DNAME TTL=0 to be served from cache within grace period (#1411)

* Allow synthesized DNAME TTL=0 to be served from cache within grace period

Addresses doc/TODO: cache TTL=0 packets properly for synthesis.
- rrset_cache_lookup: allow TTL=0 DNAME within 1s grace for synthesis
- synth_dname_msg: support PACKED_RRSET_UPSTREAM_0TTL, return TTL=0 to client

Reduces recursion when authoritative servers return DNAME with TTL=0 (RFC 2308).
Client response still correctly returns TTL=0.

Note: Test with proper TTL=0 DNSSEC RRSIGs omitted - requires ldns-signzone
to generate valid signatures for TTL=0 RRsets.

* Add iter_dname_ttl0.rpl replay test for DNAME TTL=0
Tests signed DNAME with TTL=0 and RRSIG Original TTL=0 (RFC 4034).
Verifies end-to-end handling of TTL=0 DNAME responses.

- Update generated man pages.

For #1409: Changelog entry and more text.

Documentation CNAME in redirect-type local-zone (#1409)

- Fix validator to set unchecked when validation recursion
  requests are passed. The edns subnet module checks if validation
  is needed for a cache response, and set the validator to protect
  the cache with validation for non-subnet lookups.

- Fixed some typos reported in #1395 by rezky_nightky.

- Fix to disallow cache lookup/store in external cachedb when a
  forwarder/stub forbids it with the no-cache option.

- Fix to make the cachedb_val_expired.crpl succeed.

- Fix to have cachedb not return expired bogus data as non-bogus.

- For #1405: local-zone always_refuse also blocks queries of type DS.

- Fix to remove unused conditional from cookie timestamp at
  worker env.

- Fix that cachedb aggressive negative responses have the RA flag set.

- Fix #1404: Priming the root key fails after loading ipfire.org RPZ
  zones. Fixed by including the ZONEMD RRtype in the list of types to
  ignore for RPZ zones. Analysis and patch provided by ummeegge.

- Fix #1403: Inconsistency between do-nat64 and do-not-query-address
  during retries.

- Update generated man pages.

Changelog note and documentation for #1401.
- Merge #1401: Add a new build-time option for system TLS.
  The --enable-system-tls flag enables the
  tls-use-system-policy-versions setting by default.

Add a new build-time option for system TLS (#1401)

We want to use crypto-policy provided configuration always in our
builds. Allow changing the default of tls-use-system-policy-versions at
build time by a simple configure parameter.

- Fix #1389: [FR] replacement with ECC-GOST12 according to RFC9558.
  Patch contributed by Igor V. Ruzanov, available in
  contrib/gost12.patch.

- Support pthread_setname_np, and variants, to set the name on spawned
  threads for easier debugging/monitoring.

Fix attribution of fix.

- Fix local privilege escalation on Windows. Thanks to Hao Huang
  for the report. The OpenSSL init calls are set to not load
  the openssl.cnf file when compiled for Windows.

- Eagerly remove .skip mark files in between mini_tdir.sh runs in case
  there has been a change on the environment.

- Add test for allow-notify with a host name.

- Fix to not skip allow-notify hostname lookups when there are only
  urls.

Merge branch 'master' of github.com:NLnetLabs/unbound

- Fix that allow-notify entries with hostnames are copied after IPv4
  and IPv6 lookup.

- Update generated man pages.

Changelog entry for #1396:
- Merge #1396: Log Linux thread ID.
- On Linux systems log the system-wide unique thread ID instead of
  Unbound's internal thread counter.
- Introduce the 'log-thread-id' configuration option to manage logging
  the system-wide Linux thread ID for easier debugging with system
  tools.

Merge pull request #1396 from NLnetLabs/features/thread-id

- Introduce the 'log-thread-id' configuration option to manage logging
  the system-wide Linux thread ID for easier debugging with system
  tools.