remove redundant assignment

(cherry picked from commit 8d3ab63b412fb4b9fd8732af47a5d1c18ba7e786)

IXFR client: handle partial reads of the TCP chunk length header, plus:
* add primarySOACount to exception text
* add indicator of current state to exception text
* a test

(cherry picked from commit 8faf5a90992b2613cf5999c8dd5e26b0025050b7)

typo fix

(cherry picked from commit 8fb5bba04f7a211ac2eb815f5c340e69070dc3e0)

Merge pull request #13079 from omoerbeek/backport-12892-to-rec-4.7.x

rec: Backport 12892 to rec-4.7.x: YaHTTP: Prevent integer overflow on very large chunks

Merge pull request #13075 from omoerbeek/backport-12961-to-rec-4.7.x

rec: Backport 12961 to rec-4.7.x: Work around Red Hat 8 pooping the bed in OpenSSL's headers

Merge pull request #13058 from omoerbeek/rec-backport-13021-to-rec-4.7.x

rec: Backport 13021 to rec-4.7.x: fix setting of policy tags

YaHTTP: Prevent integer overflow on very large chunks

If the chunk_size is very close to the maximum value of an integer,
we trigger an integer overflow when checking if we have a trailing
newline after the payload.
Reported by OSS-Fuzz as:
https://oss-fuzz.com/testcase-detail/6439610474692608
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=56804

(cherry picked from commit b602982fc5b4fb9139dec591541e0c070ceb47f5)

Work around Red Hat 8 pooping the bed in OpenSSL's headers

The openssl/kdf.h header on EL8 is invalid because someone backported
a work-in-progress feature to an older OpenSSL branch and did not
bother to backport the fixes that were added later.

Red Hat declined to fix their mess and helpfully suggested we do the
work instead in https://bugzilla.redhat.com/show_bug.cgi?id=2215856

(cherry picked from commit 3dabf2d4a1a478fb00a232259e8043f075eb4d03)

Fix DoT test to no use www.powerdns.com, as it changed, backport of #12825

Backport #13059: Don't check TTLs of records coming out of packet cache

Backport 7d6cbd0823d2ebdede600dc034d852ba2c5f39c6

rec: Backport 13021 to rec-4.7.x: fix setting of policy tags

Backport of #13021

Merge pull request #12701 from omoerbeek/rec-47-spoof

rec: Backport 12699 to rec-4.7.x: Deterred spoofing attempts can lead to authoritative servers being marked unavailable

Merge pull request #12633 from romeroalx/update-gh-actions-rec-4.7

Backport GH Actions updates from master to rec-4.7.x

PowerDNS Security Advisory 2023-02: Deterred spoofing attempts can lead to authoritative servers being marked unavailable (CVE-2023-26437)

Use actions/cache@v3

Use actions/checkout@v3

gh actions: simplified collector job in build-and-test-all.yml

Avoid Microsoft repo for ODBC. Step 1: codeql allow apt downgrades

Avoid Microsoft repo for ODBC. Step 1: allow apt downgrades

codeql workflow: set ubuntu mirror

build-and-test-all: add functionality to quickly switch ubuntu mirrors

Restrict permissions for GITHUB_TOKEN in our workflows

Added using https://github.com/step-security/secure-workflows
For more information see:
- https://github.com/ossf/scorecard/blob/d8fefc9b246db3600c777e9d60d441d7c386ce1d/docs/checks.md#token-permissions
- https://github.blog/changelog/2021-04-20-github-actions-control-permissions-for-github_token/

build(deps): bump actions/setup-python from 2 to 4

Bumps [actions/setup-python](https://github.com/actions/setup-python) from 2 to 4.
- [Release notes](https://github.com/actions/setup-python/releases)
- [Commits](https://github.com/actions/setup-python/compare/v2...v4)

---
updated-dependencies:
- dependency-name: actions/setup-python
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>

Switch from set-output tot GITHUB_OUTPUT

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

build(deps): bump actions/upload-artifact from 1 to 3

Bumps [actions/upload-artifact](https://github.com/actions/upload-artifact) from 1 to 3.
- [Release notes](https://github.com/actions/upload-artifact/releases)
- [Commits](https://github.com/actions/upload-artifact/compare/v1...v3)

---
updated-dependencies:
- dependency-name: actions/upload-artifact
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>

build(deps): bump actions/download-artifact from 2 to 3

Bumps [actions/download-artifact](https://github.com/actions/download-artifact) from 2 to 3.
- [Release notes](https://github.com/actions/download-artifact/releases)
- [Commits](https://github.com/actions/download-artifact/compare/v2...v3)

---
updated-dependencies:
- dependency-name: actions/download-artifact
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>

build(deps): bump actions/checkout from 2.3.4 to 3.1.0

Bumps [actions/checkout](https://github.com/actions/checkout) from 2.3.4 to 3.1.0.
- [Release notes](https://github.com/actions/checkout/releases)
- [Changelog](https://github.com/actions/checkout/blob/main/CHANGELOG.md)
- [Commits](https://github.com/actions/checkout/compare/v2.3.4...v3.1.0)

---
updated-dependencies:
- dependency-name: actions/checkout
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>

build(deps): bump actions/cache from 2 to 3.0.11

Bumps [actions/cache](https://github.com/actions/cache) from 2 to 3.0.11.
- [Release notes](https://github.com/actions/cache/releases)
- [Changelog](https://github.com/actions/cache/blob/main/RELEASES.md)
- [Commits](https://github.com/actions/cache/compare/v2...v3.0.11)

---
updated-dependencies:
- dependency-name: actions/cache
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #12238 from rgacogne/rec47-remove-binary-function

rec-4.7.x: Stop using deprecated std::binary_function

rec-4.7.x: Stop using deprecated std::binary_function

Merge pull request #12231 from omoerbeek/backport-12046-to-rec-4.7.x

rec: Backport 12046 to rec-4.7.x: Fix compilation of the event ports multiplexer

Merge pull request #12230 from omoerbeek/backport-12198-to-rec-4.7.x

rec: Backport 12198 to rec-4.7.x: Correct skip record condition in processRecords.

Merge pull request #12227 from omoerbeek/backport-12199-to-rec-4.7.x

rec: Backport 12199 to rec-4.7.x: Also consider recursive forward in the "forwarded DS should not end up in negCache code."

Fix compilation of the event ports multiplexer

Thanks to Jonathan Perkin for the patch!

(cherry picked from commit 7ea87a63ab48e938bdb8b73ebfde1ac6bc71704f)

Correct skip record condition in processRecords.

Noted the other day by @rgacogne

(cherry picked from commit d1321ff57909f8fb9d0bd7a20e3c4eb85a6b76e1)

Also consider recursive forward in the "forwarded DS should not end up in negCache code."

With @rgacogne and @phonedph1
Fixes #12189

(cherry picked from commit af746aaf59a2e977bafabd5814635f59b01e5835)

Merge pull request #12190 from omoerbeek/backport-12125-to-rec-4.7.x

rec: Backport 12125 to rec 4.7.x: Timout handling for ixfrs as a client

Better wording in comment

Co-authored-by: Peter van Dijk <peter.van.dijk@powerdns.com>
(cherry picked from commit 240460d77be35a6a1c1e6fa22364efe19dc3ee84)

Timout handling for ixfrs as a client.

One complicating factor is that this is shared code, but auth and
rec do not agree on the definiton of the timeout value: auth states
it is a maximum idle time, while rec state it is the total xfr time.
While both apporaches make sense and in the end we would like to
enforce both, we now go for a more simple solution that respects
auth or rec behaviour based on a flag.

(cherry picked from commit fee334ae0f5083d47f9adc207d5a1a6d36ebc2ac)

Merge pull request #12173 from omoerbeek/backport-12066-to-rec-4.7.x

rec: Backport 12066 to rec 4.7.x: Detect invalid bytes in makeBytesFromHex()

Merge pull request #12171 from omoerbeek/backport-12081-to-rec-4.7.x

rec: Backport 12081 to re-4.7.x: Log invalid RPZ content when obtained via IXFR

Merge pull request #12168 from omoerbeek/backport-12038-to-rec-4.7.x

rec: Backport 12038 to rec-4.7.x: when an expired nsec3 entry is seen, move it to the front of the expiry queue

Apply Otto's suggestion

(cherry picked from commit 7f73a566805979f94bc1a23c9088372e00177bec)

misc: Switch to a std::array in makeHexDump()

(cherry picked from commit 8c7a1b8a671291e6ee2e7e4abdbdd41e9c714b31)

auth: Detect invalid bytes in makeBytesFromHex()

Also only allocate the required number of bytes, not twice that.

(cherry picked from commit 50953de897023742e43d3feab976b891be1c6e63)

rec: Log invalid RPZ content when obtained via IXFR

That kind of content was properly logged and handled when received
during the initial loading (AXFR) but not when received via an
incremental update.

(cherry picked from commit 55a99233728fc01e3946a97fb8dbb073a3003622)

rec: when an expired nsec3 entry is seen, move it to the front of the expiry queue

(cherry picked from commit 05a4985708988eb10f9291a40406b205e7d5d5b2)

Merge pull request #11977 from Habbie/backport-11961-to-rec-4.7.x

rec 4.7.x docker: upgrade to bullseye

docker: upgrade to bullseye

(cherry picked from commit a0d3acff25a92627186ee43bead110aef416f59a)

Merge pull request #11947 from Habbie/backport-11788-to-rec-4.7.x

rec-4.7: add EL9+9stream targets

add 9-stream target and test it daily

(cherry picked from commit f021d529629ef9dc7b7983b9d1c7e7ca589b6f13)

add el-9 target

(cherry picked from commit 4728ab89f071c0d5f596638614efb85a26fafdd4)

Merge pull request #11936 from omoerbeek/backport-11904-to-rec-4.7.x

rec: Backport 11904 to rec-4.7.x: For zones having many NS records, we are not interested in all so take a sample.

Merge pull request #11940 from omoerbeek/backport-11890-to-rec-4.7.x

rec: Backport 11890 to rec-4.7.x: Failure to retrieve DNSKEYs of an Insecure zone should not be fatal.

Failure to retrieve DNSKEYs of an Insecure zone should not be fatal.

This issue happens if a record set is signed even though the zone
itself is Insecure. Syncres then tries to retrieve DNSKEYs and a
timeout on that would lead to an ImmediateServFailException.

Only throw exception later in validateRecordsWithSigs, after checking
zone cuts, when we are sure the zone is Secure.

(cherry picked from commit 6dc8b0b2c6fb2e628356f8dc5c5de4dfd919ec5d)

For zones having many NS records, we are not interested in all so take a sample.

(cherry picked from commit a49b0b40a0c1c1af9531b99e9266a8c2aa89cd68)

Merge pull request #11897 from omoerbeek/backport-11848-to-rec-4.7.x

rec: backport 11848 to rec-4.7.x: Also check qperq limit if throttling happened, as it increases counters.

Also check qperq limit if throttling happened, as it increases counters.

This condition would be caught when going out previously, so is
an optimisation, not a behaviour difference.

(cherry picked from commit c75d28f2b786b986ec10675e3c853a52eec11e37)

Merge pull request #11879 from fredmorcos/backport-11850-to-rec-4.7.x

Backport #11850 (Fix recursor not responsive after Lua config reload) to rec 4.7.x

Rec: Move FrameStreamServersInfo to rec-main

(cherry picked from commit 4354beb50caffdc4cb45ef3004402a780a0e2d81)

Rec: Asynchronously destroy old connections to dnstap servers

With @omoerbeek

Closes #11795

(cherry picked from commit 2e0757d5c661c124b58ac69e91da440ad9705c62)

Rec: Don't reload Lua config if it hasn't changed

This also groups together 1) the list of frame stream servers, 2) the config from which
the list was created and 3) the config's generation into a single struct called
FrameStreamServersInfo. The struct is used to compare the old and new configuration to
decide whether to destroy the old config object or not.

Part of #11795

(cherry picked from commit afaf1b5d87c4a4961eadaf114855a335711c33c8)

Merge pull request #11847 from omoerbeek/backport-11843-to-rec-4.7.x

rec: backport 11843 to rec-4.7.x: Clear the caches *after* loading authzones.

Merge pull request #11774 from omoerbeek/backport-11773-to-rec-4.7.x

rec: Backport 11773 to rec-4.7.x: Resize answer length to actual received length in udpQueryResponse

Merge pull request #11877 from omoerbeek/rec-backport-to-rec-4.7.x-pb-size

Backport of protobuf PSA 2022-02 (CVE-2022-37428) to rec-4.7.x

Clear the caches *after* loading authzones.

(cherry picked from commit 799114529470923a5e633dadc47b59c4e2a7e220)

Backport of protobuf PSA 2022-02 (CVE-2022-37428) to rec-4.7.x

Add regression test for #11771 (lenght of annswer in udpQueryResponse)

(cherry picked from commit 8ca70105ddd6fda10e98b6d3d8cb67523ebc81e1)

Rec: Resize answer length to actual received length in udpQueryResponse

Fixes #11771

(cherry picked from commit cbb5ac45a90e4109ff1f8536bf5d99aafd62ef0c)

Merge pull request #11750 from omoerbeek/backport-11726-to-rec-4.7.x

rec: Backport 11726 to rec 4.7.x: Convert generic format while parsing zone files for ZoneToCache

Merge pull request #11748 from omoerbeek/backport-11692-to-rec-4.7.x

rec: Backport 11692 to rec-4.7.x: Run tasks from houskeeping thread in a proper way.

Merge pull request #11747 from omoerbeek/backport-11641-to-rec-4.7.x

rec: Backport 11641 to rec-4.7.x: Move to v2 for CodeQL action, v1 will be deprecated dec 2022

Avoid log spam

Formatting

(cherry picked from commit 83a2c32ef314bb2818bdbdecb2a183870b9c1664)

Update structured logging for exceptions to be in line with rest of code

(cherry picked from commit c85af1d0f0b560d1ed4150ba6d56b06eb290c913)

Convert generic format while parsing zone files for ZoneToCache.

Fixes #11724

(cherry picked from commit 52b2a1f2025906b34b8ac207c349773cf4e4b255)

Merge pull request #11740 from Habbie/backport-11735-to-rec-4.7.x

rec-4.7: dh_builddeb: force gzip compression, thanks Zash!

Run tasks from houskeeping thread in a proper way.

Previously, this was only done if log-common-errors was true, due
to argument reversal.  In general task *would* be executed, as they
are also run after each query processed by SyncRes (so not after
packet cache hits).

Thanks to @jelu!

(cherry picked from commit c42b6632e00eaa93911ce88a0b4aa8c598441e2a)

Move to v2 for CodeQL action, v1 will be deprecated dec 2022

(cherry picked from commit a0c99342e7aa22e16a75d9e7daa4de69d087bc38)

dh_builddeb: force gzip compression, thanks Zash!

(cherry picked from commit bbfa37c0232b56e2227668717dbb97ce4f01d990)

Merge pull request #11699 from Habbie/backport-11658-to-rec-4.7.x

rec-4.7.x: protobuf: use python implementation during tests

protobuf: use python implementation during tests

(cherry picked from commit 2dd4d60b8103a64c796296647ad7b45226d5a5bd)

Merge pull request #11645 from omoerbeek/backport-11644-to-rec-4.7.x

rec: Backport 11644 to rec-4.7.x: Deprecation warning for XPF settings.

Deprecation warning for XPF settings.

(cherry picked from commit 7e32a0b96df460abd8fb98fbb63f4d336b9c3d03)

Backport of #11644

Merge pull request #11632 from omoerbeek/backport-11609-to-rec-4.7.x

rec: Backport 11609 to rec 4.7.x: Fix API issue when asking config values for allow-from or allow-notiy-from

Merge pull request #11635 from omoerbeek/backport-11570-to-rec-4.7.x

rec: Backport 11570 Reduce make -j parameter from 8 to 4, as dnsdist does.

Reduce make -j parameter from 8 to 4, as dnsdist does.

This might fix the occasional build issues with the CodeQL GH Action.

(cherry picked from commit d6b94fbd9664a7acac00f5dd8ebbacc4119ed045)

Document meaning of empty allow-from

(cherry picked from commit a75c8e8019462827dae4599b6a24ef7a0645c30c)

Add tests for empty allow-from and allow-notify-from case

(cherry picked from commit bfa1ae26f5c174d6fe237dc0ed9d08043518648f)

Fix API issue when asking config values for allow-from or allow-notify-from

(cherry picked from commit 3aa876deef257fc6d63da32df0742ed8cf91aaa1)

Merge pull request #11559 from omoerbeek/backport-11539-to-rec-4.7.x

rec: Backport 11539 to rec 4.7.x: DNSSEC counters track responses sent, not actual validations performed

Merge pull request #11560 from omoerbeek/backport-11541-to-rec-4.7.x

rec: Backport 11541 to rec 4.7.x: fix DoT port for probed authoritative servers

Merge pull request #11558 from omoerbeek/backport-11529-to-rec-4.7.x

rec: Backport of #11529: Zap a leftover debug line in test code

Decide to use Dot earlier.

To keep the nsspeed table good, we need to decide to use DoT earlier.
Now the lookup and updats of the speed table occur in a proper way
(using the port that is actually used for the connetion) and when
we switch from/to DoT, the old nsspeeds are cleared by the already
existing code.

(cherry picked from commit dc777d96b2fedd5a33fbb94a8571ba1c0d11d284)

Missing newline in dump output, noted by ph1

(cherry picked from commit a8bd214e7c2a9ad357beae27378f59f3007578bf)

Fix port, as noted by ph1 on IRC

Without this, probed DoT actually becomes regular TCP.

(cherry picked from commit 9bea6fe3ee133b0075d34c30739298679393636e)

rec: Fix DNSSEC counters description in web/prometheus as well

(cherry picked from commit d76a66060f94ccac92db5cee691f0f4bb1cde022)

rec: DNSSEC counters track responses sent, not actual validations performed

Since 4.1 these counters are updated for every response sent, even if the DNSSEC
status was fetched from the records cache and did not involve any actual
validation.

(cherry picked from commit 3aebcb3af2cea8f85502fe070ece1da6a531f85e)

Zap a leftover debug line in test code

(cherry picked from commit ae901eb52569bc9eca6c4e871a3fc808c7e19002)