NEWS: stats split

modules/stats: add back stats dropped in the previous commit

Just as read-only aggregates of the split v4+v6 pairs.

modules/stats: split request.* metrics to IPv4 and IPv6

Let's have .total4 and .total6, too.  Then .total could be expressed
as a sum of *three* (including .internal), so it's still counted
separately, as an exception.

modules/stats: add answer.sum_ms metric

(cherry picked from commit 44df5dd0d0fedfae390e7137572bcb14270e4d48)

Merge branch 'coverity' into 'master-5'

Coverity fixes

See merge request knot/knot-resolver!1543

daemon/tls_ephemeral_credentials: fix possible race between read() and fstat()

.gitlab-ci: fail Coverity Scan on HTTP error

modules/hints: fix dname bounds check

This check was introduced to fix Clang-Tidy errors, but was factually
not completely correct, tripping Coverity Scan.

utils/cache_gc: use lib/generic/array instead of dynarray

This should appease Coverity Scan, and make the garbage collector
consistent with the rest of the Resolver.

.gitlab-ci: remove SonarCloud Scanner

The detections are mostly academic and useless for our purposes. We have
other static analyzers that better suit our needs.

Merge branch 'ci-overhaul-2' into 'master'

CI/CD overhaul

See merge request knot/knot-resolver!1533

tests/pytests/utils: handle SSLEOFError

It used to just throw BrokenPipeError, but newer versions of Python have
a separate exception for when the connection is closed in violation of
TLS rules, which Knot Resolver does deliberately so as to not waste time
on properly closing TLS connections with misbehaving peers.

test/pytests/test_tls: remove resumption test

Knot Resolver disables resumption on TLS <=1.2 as it is vulnerable to
replay attacks, so the test makes no sense, as that one was specifically
disabled for TLS >=1.3 (Python had no support for it at the time).

We should make a new test for this with TLS 1.3 support.

tests/pytests: remove deprecated calls

Silence Clang-Tidy

This commit makes lots of changes to the C code to appease the
Clang-Tidy linter. Some of the less obvious ones are due to C's weird
semantics regarding handling of numeric literals.

We also disable a bunch of the detections because they are
super-pedantic, arguably useless, or we have our own unwritten coding
style rules that solve the issues.

.gitlab-ci, tests, modules: adapt to knot-resolver-ci repo

This is the bulk of the CI/CD overhaul.

Most of the changes are to the `.gitlab-ci.yml` file, where the build
images used are replaced with the ones provided by the
`knot-resolver-ci` repository. Some cleanups have also been done.

The commit also adds unit testing with Knot Resolver built against
multiple versions of Knot DNS, including the `master` branch. The
`master` branch image is built nightly in the `knot-resolver-ci` repo.

We have also removed `scan-build`, as its tests change frequently, with
lots of false-positives, which are very different on each version, and
there is no good way to ignore some detections. Clang-Tidy covers some
of the same issues, and we also have Coverity Scan. Should be more than
enough.

A few config tests were also excluded in the AddressSanitizer tests,
because they produce false-positives.

tests/dnstap: Go improvements

- Do `go mod tidy` before running the test, even in CI
- Add `go.sum` to `.gitignore`
- Compatibility with Go 1.15 (Debian 11)

Merge !1538: ci nixos: switch container image tag

ci nixos: switch container image tag

Unfortunately the `latest` tag is amd64 only right now,
even though it did have both recently. I hope this will work reliably.

Merge !1509: treewide: more compatibility with future libknot 3.4

treewide: more compatibility with future libknot 3.4

knot_wire_next_label used to return NULL when applied to . (root)
but that's not allowed anymore, and some of our calls relied on that.

treewide: more compatibility with future libknot 3.4

knot_wire_next_label isn't allowed with NULL wire anymore.

Merge branch 'macos-fix' into 'master'

Fix macOS GitHub actions

See merge request knot/knot-resolver!1537

modules/*/meson.build: add missing dependencies

.github/workflows/macOS: fix prefix for ARM macOS

Merge branch 'website-push-docs' into 'master'

gitlab-ci: push docs to the website (manual CI)

See merge request knot/knot-resolver!1530

gitlab-ci: push docs to the website (manual CI)

Merge branch 'nits' into 'master'

nits: unused variable, improved #include path

See merge request knot/knot-resolver!1529

lib/dnssec nit: improve #include path

The issue was exposed when working on rrl-wip branch:
  lib/dnssec/nsec.c:19:10: fatal error: resolve.h: No such file or director

daemon/engine nit: drop an unused variable

Reported by clang.

Merge branch 'shared-libkres-fix' into 'master'

daemon/meson.build: add install_rpath to kresd

See merge request knot/knot-resolver!1528

daemon/meson.build: add install_rpath to kresd

This fixes the default use-case for developers when they put their
install prefix somewhere where the system `LD_LIBRARY_PATH` does not
point. Before this, `kresd` would fail to start after `ninja install`
because it would not be able to find the `libkres.so` library.

The original workaround to this was to use `meson configure
-Ddefault_library=static`, but firstly, we would like it to be working
with the default settings, and secondly, we would like to have it as
similar to what most users will encounter as possible.

Merge branch 'release-5.7.2' into 'master'

Release 5.7.2

See merge request knot/knot-resolver!1522

ci: obs: create venv and install apkg

scripts/update-authors: explicit '--no-show-signature'

Fixes the script for users who have `log.showSignature` set to `true` in
their git config.

Release 5.7.2

Merge branch 'time_t' into 'master'

daemon/lua: fix on 32-bit systems with 64-bit time_t

See merge request knot/knot-resolver!1510

daemon/lua: fix on 32-bit systems with 64-bit time_t

This improves the heuristics.
The problem would be detected by meson, but not when cross-compiling,
in which case things would mostly run OK, except some lua code/modules.

Merge !1501: various nits

lib/dnssec: rename 'check_crypto_limit' to 'account_crypto_limit'

tests/integration/meson.build: refer to augeas as 'python-augeas'

This is so that it is more obvious that the PyPI package actually has
the `python-` prefix.

daemon/proxyv2: nits

Merge branch 'keytrap-related' into 'master'

improve assertions around current releases

See merge request knot/knot-resolver!1506

lib/cache: bump CACHE_VERSION

Ideally we would've done that at once with increasing NSEC3 strictness,
i.e. in 5.7.1 + 6.0.6, as otherwise we could run into some recoverable
assertions until the records got removed or expired.
We at least do the bump now.

lib/dnssec: fix imprecise assertion

It was no longer correct after commit cc5051b444130 (KeyTrap).

release 5.7.1

Merge: mitigate CVE-2023-50387 "KeyTrap"

DNSSEC verification complexity could be exploited to exhaust CPU resources and stall DNS resolvers.

Solution boils down mainly to limiting crypto-validations per packet.

update NEWS with KeyTrap

in a separate commit, as it will tend to conflict if patching

mitigate KeyTrap DoS = CVE-2023-50387

Improve: don't retry in this case.

mitigate KeyTrap DoS = CVE-2023-50387

lib/resolve kr_request_set_extended_error(): tweak priorities

Keep the first error in case priorities are equal.

At least with the current KeyTrap topic that should work better,
but blaming a single error is alchemy anyway, at least in some cases.

lib/dnssec kr_rrset_validate_with_key(): deduplicate cleanup

Merge CVE-2023-50868: NSEC3 closest encloser proof can exhaust CPU

validator: compatibility with older libknot versions

The value is in IANA registry, so it's very constant anyway.

add NEWS for NSEC3 mitigations from the previous few commits

validator: refuse to validate answers with more than 8 NSEC3 records

validator: limit the amount of work on SHA1 in NSEC3 proofs

lib/cache: limit the amount of work on SHA1

That's when searching NSEC3 aggressive cache.

validator: similarly also limit excessive NSEC3 salt length

Limit combination of iterations and salt length, based on estimated
expense of the computation.  Note that the result only differs for
salt length > 44 which is rather nonsensical and very rare:
https://chat.dns-oarc.net/community/pl/h58qx9sjkbgt9dajb7x988p78a

validator: lower the NSEC3 iteration limit (150 -> 50)

Also done by BIND9 >= 9.19.19:
https://gitlab.isc.org/isc-projects/bind9/-/merge_requests/8515

The latest real-life measurements show that values above 50 are rare:
https://chat.dns-oarc.net/community/pl/aadp9wwrp7g7ux1b8chbzebmze

Merge branch 'pkg-bionic' into 'master'

pkg/distro/deb: fix doc build for Ubuntu 18.04

See merge request knot/knot-resolver!1495

pkg/distro/deb: fix doc build for Ubuntu 18.04

Due to mysterious reasons, Ubuntu 18.04 ARM builds doesn't invoke
dh_installinfo (even though amd64 does).

Merge knot-resolver-doc.info into knot-resolver-doc.docs for
compatibility.

distro/pkg/deb: bump debhelper compat to 11

Oldest supported distro requiring 11 is Ubuntu 18.04 Bionic Beaver.

Merge !1494: compatibility with libknot's master (3.4 WIP)

compatibility with libknot's master (3.4 WIP)

I'm adding this as a function, as in knot-resolver 6.x we have
one more place where it is used, and I find this more readable.

Merge branch 'doc-logo-manual-colors-5' into 'master'

doc: adjust colors according to the logo manual

See merge request knot/knot-resolver!1489

doc: adjust colors according to the logo manual

Merge branch 'sonarcloud-5-update' into 'master'

ci/images/debian-11: update sonarcloud to version 5

See merge request knot/knot-resolver!1488

ci/images/debian-11: update sonarcloud to version 5

Old version caused failures due to unsupported Java version 11.

Merge !1486: doc/requirements.txt: add sphinx_rtd_theme

doc/requirements.txt: add sphinx_rtd_theme

This should fix the ReadTheDocs build

Merge branch 'docs-pages-5-backport' into 'master'

Backport hosting docs in GitLab Pages into 5.x

See merge request knot/knot-resolver!1485

.gitlab-ci: remove the `pages` job for 5.x

doc/conf.py: jquery workaround

.gitlab-ci: upgrade pip packages

scripts/make-doc.sh: backport changes from 6.0

.gitlab-ci: remove old 'doc' target

.gitlab-ci: fix Pages publishing

This commit renames `docs:public` to `pages` as required by GitLab CI to
recognize Pages jobs correctly. It also adds the `public` directory into
`artifacts:paths`.

.gitlab-ci.yml: use environments for documentation versioning

This leverages Environments on GitLab to expose different versions of
Knot Resolver docs. The `docs:build` job builds the documentation and
exposes it via job artifacts. Then `docs:develop` (for branches) and
`docs:release` (for tags) take these artifacts and expose them via an
Environment link (an example of this in action may be seen at
[https://gitlab.nic.cz/ostava/knot-resolver/-/environments]).

There is also an optional, manually runnable `docs:public` job, which,
when run, propagates the documentation to the main GitLab Pages of the
project (e.g. [https://knot.pages.nic.cz/knot-resolver]) - this will
probably be mostly used for the latest release, although this setup
pretty much allows us to swap it for whatever version we like at any
time.

Merge !1478: etc/root.hints: B.root-servers.net updated addresses

etc/root.hints: B.root-servers.net updated addresses

Officially yesterday, but there's long overlap when both address pairs
are promised to work.  See e.g. this e-mail thread:
https://lists.dns-oarc.net/pipermail/dns-operations/2023-June/022052.html

Merge !1470: lib/zonecut.c fetch_addr(): resurrect filtering by NO_IPV*

lib/zonecut.c fetch_addr(): resurrect filtering by NO_IPV*

This filtering was dropped in 4565cc596680 (v5.3.0).
Now it's reintroduced - but inside the function, as that seems nicer.
Nit: naming and comment were updated to fit the current usage.

As the code is designed so far (in whole history probably), in order
to detect whether we need to choose a zone cut closer to the root,
we need to do something like this in lib/zonecut.c already,
instead of just during server selection.

I don't think this change can break anything.
Fetching unusable addresses from cache seems pointless,
as selection wouldn't be allowed to use them or try resolving them.

Merge branch 'news-5.7.0' into 'master'

NEWS: improve the security entry in 5.7.0

See merge request knot/knot-resolver!1468

NEWS: improve the security entry in 5.7.0

Merge !1463: ci macOS: update Knot DNS

ci macOS: wait on *both* builds

At least I hope this will work as expected.

ci macOS: update Knot DNS

Merge branch 'release-5.7.0' into 'master'

release 5.7.0

See merge request knot/knot-resolver!1448

NEWS: date update

AUTHORS update

release 5.7.0

daemon: more avoidance of excessive TCP reconnections

Previously this penalization was only triggered if the remote server
closed TCP.  Now it's extended to us closing it when the server
(only) sends back some nonsense.  At least for the cases which I could
see immediately.

That's just three trivial one-line additions; the rest is refactoring.

Merge !1441: .readthedocs.yaml: migrate configuration from web app

.readthedocs.yaml: migrate configuration from web app

Read the Docs is deprecating their web configuration. This commit
should migrate said configuration to the newly recommended YAML format.

Merge !1422: avoid knot_pkt_default_padding_size()

avoid knot_pkt_default_padding_size()

The reserved size in packet is a messy thing, broken by
https://gitlab.nic.cz/knot/knot-dns/-/commit/ded5fbf01d00a875f141
Fortunately this function is trivial, so we can inline what we need.
It gets complicated by an earlier typo fix, though.

Merge !1406: hints: fix names inside home.arpa.

hints: fix names inside home.arpa.

Reported on https://forum.turris.cz/t/knot-resolver-with-local-fqdn-hostnames/19034/8

I write it as three comparisons, as it seems like a simple way of
still running only a single comparison in the typical case of QNAME
not falling under .arpa.

Tested just quickly, manually.  This chunk of code already is replaced
for kresd >= 6.0.0.

Merge !1405: stricter C warnings: fix and add them to defaults+CI