rec: Add a regression test for answers generated from gettag

(cherry picked from commit 9fbfe39b195982fbce4123014a943a6f02bbe58d)

rec: Fix the processing of answers generated from gettag

The logic to let a RPZ match override the answers generated from Lua
was broken, ignoring the generated values.

(cherry picked from commit 995884ff35d9591857edd6aef0df07e892c19485)

Merge pull request #9605 from omoerbeek/rec-backport-to-4.4.x-sec-2020-07

rec: Backport of CVE-2020-25829 (any-cache-update) to 4.4.x

rec: Add a unit test for the ANY "just-in-time" cached records case

rec: Fix validation when more than one cached record is returned

We need to validate them RRSet by RRSet.

rec: Fix returning more than one cached records

The existing implementation did not properly update the DNSSEC
and authoritative status, and did not include all the needed
RRSIG and additional records.

rec: Prevent updating the status of all cached records for a name

Before that fix, it was possible to make the recursor update the
DNSSEC status of all cached records for a given name using an ANY
query.
This real issue is that we should retrieve the needed RRSIGs and
authority records for all cached records when processing an ANY
query, but this fix prevents the cache pollution which is the worst
part of the issue.

Merge pull request #9579 from omoerbeek/backport-9434-to-rec-4.4.x

rec: Backport 9434 to rec 4.4.x: When deciding if we are auth in the local auth or forwarding case, DS is special

Fix test

(cherry picked from commit 4459dcf53f77a6de1b2802567146622cd80db276)

Test for the reported issue wrt doing an spurious DS queries

I'm trying to setup a valid a.test and b.test, using a non-recursive forward
but somehow my DNSSEC setup is not right. Cannot spot the issue atm.

(cherry picked from commit 5879cd2d6d8d374a3aaa38e280a16c4d01d16ef4)

When deciding if we are auth in the local auth or forwarding case,
for DS records we need to look at the parent of the particular name.

Seems to fix #9433

(cherry picked from commit 68f6b16cb2709d5cc9ca53823def2781cc2f1f06)

Merge pull request #9577 from omoerbeek/backport-9569-to-rec-4.4.x

rec: backport 9569 to rec 4.4.x: Don't parse any config with `--version`

Merge pull request #9576 from omoerbeek/backport-9562-to-rec-4.4.x

rec: Backport 9562 to rec 4.4.x: Expose typed cache flush via Web API

recursor: Don't parse any config with `--version`

This ensures we don't log anything _apart_ from the version info.
Spotted in https://github.com/PowerDNS/pdns_recursor-ansible/issues/66

(cherry picked from commit 2733183fc0b35ed2b59c87aab5aaaa86688db778)

Be explicit we're talking about the recursor.

(cherry picked from commit 193a9a7a0b1c8791d4d9de2bee290d62a8d0114c)

Expose typed cache flush via Web API

(cherry picked from commit 3bb2d9875c82776d91c2c7a7d4de1a8ce8ed3097)

Merge pull request #9557 from omoerbeek/rec-backport-9515-to-4.4.x

rec: Backport #9515 to rec 4.4.x: actually fix wipe-cache-typed

Backport #9515 to 4.4.x: actually fix wipe-cache-typed

Merge pull request #9528 from omoerbeek/backport-9471-to-rec-4.4.x

rec: Backport 9471 to rec-4.4.x: Log when going Bogus because of a missing SOA in authority

Merge pull request #9526 from omoerbeek/backport-9495-to-rec-4.4.x

rec: Backport 9495 to rec 4.4.x: Watch the descriptor again after an out-of-order read timeout

rec: Log when going Bogus because of a missing SOA in authority

A missing SOA in the authority section of negative (NXDOMAIN, NODATA)
answers in a DNSSEC-secure zone currently leads to a Bogus result,
because the needed NSEC/NSEC3 could not be validated.

(cherry picked from commit 832f4fbdd7ef50d0e0ff5135ee6e270acc22df9d)

rec: Fix a typo in a comment

Co-authored-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>
(cherry picked from commit ebcde9cbc9e1239157963e581327cdacde3a862f)

rec: Watch the descriptor again after an out-of-order read timeout

It might be that there was no other incoming query on that connection
and we timed out while the response had not been sent yet, but the
client might want to re-use the connection after receving the response.
We try to reset the TTD, but that might fail when the socket descriptor
has already been removed.

(cherry picked from commit b05ef1b472cfa3597dda44075f3947abd565008b)

Merge pull request #9506 from omoerbeek/backport-9497-to-rec-4.4.x

rec: Backport 9497 to rec 4.4.x: raise an exception on invalid content in unknown record

rec: Fix invalid unknown record in the unit tests

(cherry picked from commit dda934facbac96a0aad5a82f84113009ddf3ec92)

Raise an exception on invalid first part (!= \#) in unknown records

(cherry picked from commit 2d79e3273b9b68bbdb0e45a2df1fbe4769296d07)

Raise an exception on invalid hex content in unknown records

Otherwise we can end up reading uninitialised memory from the stack,
possibly leaking information.
This is only an issue if the content is read from an untrusted source
and can be passed back to an attacker.

(cherry picked from commit f5234115710094a8a7bd0b5ebddaa1fde83a52f0)

Merge pull request #9465 from omoerbeek/backport-9448-to-rec-4.4.x

rec: Backport 9448 to rec 4.4.x: We only want to do QName Minimization for the names in a forwarded  domain.

Use boost::optional to pass optional cutoff point. This way the
proper cutoff point can be specified for forwarded zones only,
making it possible to change it meaning witjout regular nameserver
lookups.

(cherry picked from commit 96ce7d340951b31a3e3d042455a1f0e7f3a6eb56)

Make code more clear by eliminating the "ancestor" as suggested by @rgacogne

(cherry picked from commit 1722d283bd3cf119870988213e9052bf0312a3e3)

If we're looking in the cache for NS for a forwarded name, we
can cut off the search at the forwarding domain.

I'm not sure if I like the added complexity...

(cherry picked from commit 007fb8008a7da4698dde9f65a8d7ace72d47970c)

Take into account a potentially more specific NS we might
have in cache.

Also, do the forward lookup only once before the loop.

(cherry picked from commit afb1d0393abd613b2f362e48d1e3dde3d34689ca)

We only want to do QName Minimization for the names in a forwarded
domain.

E.g. if foo.bar.com is forwarded and the qname is x.foo.bar.com,
start the QM process with ancestor foo.bar.com, so the query is
directed to the forwarder.  But if the qname is baz.bar.com, we do
regular QM, starting with the regular ancestor.

Should fix #9438 without breaking having forward for .

(cherry picked from commit 21af3294a6fdacd9632ecb3a05eb2ccf204d2fdb)

Merge pull request #9458 from omoerbeek/backport-9454-to-rec-4.4.x

rec: backport to 4.4.x: Parts is reused, so clear the names it might contain.

Merge pull request #9459 from rgacogne/rec44-remove-non-rec-tests

rec-4.4.x: Remove non-recursor tests

rec-4.4.x: Remove non-recursor tests

Parts is reused, so clear the names it might contain.

(cherry picked from commit bc3d2b7386e058c39872a3aa74101283b6f1af45)

Merge pull request #9376 from omoerbeek/rec-rpz-store-trigger

Rec: rpz store trigger in appliedPolicy and protobuf message

Add new field `AppliedPolicyHit` to regress test.

Document new Lua dq fields and centralize logging in handle olicyHit functions.
Plus corrections from review.

Define a log string method for a Policy and use it in appropriate places
to log what is going on wrt RPZ processing.

Also record the value that caused a hit.

For triggers fomr rpz zones it makes sense to store them as listed there.
For hit values (names or IPs) it makes more sense to store them
in the regular string value and not list them as rpz trigger format.
e.g.: a trigger is listed

24.0.2.0.192.rpz-ip.rpz.local.

A corresponding hit as

192.0.2.1

Use static constr string instead of string literals for some well-known names.

Appease spell check

Check appliedPolicyTrigger in protobuf regress test

Log trigger in protobuf message

Store the trigger hit in the (applied)Policy.

While there fix (a (I thnk) doc bug: appliedPolicy.policyAction does
not exists. I think what is meant is policyType. So document that.

Merge pull request #9414 from rgacogne/rec-cname-rpz-4

rec: Apply filtering policies (RPZ) on CNAME chains as well

Merge pull request #9379 from rgacogne/ddist-clear-console-history

dnsdist: Add the 'clearConsoleHistory' command

Merge pull request #9419 from Habbie/sdig-id-nonzero

sdig: report non-zero ID in response

Merge pull request #8638 from threatstop/master

Support for APL Records

sdig: report non-zero ID in response

Use an union for the ipv4 and ipv6 fields

Removed duplicate entry
Rewrote description as a single line

rec: Update the documentation to better describe our RPZ behaviour

rec: Add DNSFilterEngine::Policy::wasHit() to prevent code duplication

rec: Trust the result from doCNAMECacheCheck() for RPZ hits

Merge pull request #9411 from omoerbeek/rec-inited-capture-is-cxx14

rec: Fix warning: initialized lambda captures are a C++14 extension

Merge pull request #9417 from PowerDNS/omoerbeek-patch-1

rec: FIx a few "warning: comparison of integers of different signs" on clang.OpenBSD

FIx a few "warning: comparison of integers of different signs" on clang/OpenBSD

Merge pull request #9375 from omoerbeek/rec-qmin-fallback-depth

rec: Allow some more depth headroom for the no-qname-minimization fallback case

Merge pull request #9415 from PowerDNS/omoerbeek-patch-1

auth: missing override

missing override

Merge remote-tracking branch 'origin/rec-cname-rpz-4' into rec-cname-rpz

rec: Add regression tests for RPZ CNAME chains

rec: Properly handle RPZ hits for records retrieved from the cache

rec: When adding custom records from RPZ, remove conflicting ones

Document the extra allowance in case of qname-minimization fallback.

Zap some redundant args

dnsdist: Dcocument the new 'clearConsoleHistory()' command

Merge pull request #9412 from omoerbeek/rec-channel-coverity

rec: Clean some coverity reported cases of exceptions thrown but not caught.

Merge pull request #9401 from Habbie/statbag-declare-pointer

statbag: handle key redeclarations better

Do not use ref

Co-authored-by: Remi Gacogne <rgacogne+github@valombre.net>

rec: Fix formatting

rec: Document the new RPZ behaviour, objects and hooks

rec: Add a new policy filter event Lua hook

We now do the filtering during the resolution, instead of at the end,
to better match the RPZ specifications. Unfortunately it means that
we need a new hook to be able to act on policy events, since they
can occur in various places.

rec: Update tests since we now filter on CNAME chains

rec: Handle RPZ CNAME chains, post-policies on cache hits as well

Simplify things a bit

We have a rather fundamental issue here: in some cases, we want
the RPZ post policy to extend the current result vector and in some cases
we want to replace the result vector built up earlier.

ATM I have no clear method how that should be determined.

Added depth check for qnameRPZHit() and some comments.

Simplified getClientPolicy()

Handle non-CNAME cases and auth/forward case.

Though regression test is not happy yet this should be an improvement.
Also refactor qnameRPZHit a bit.

Move Query policy handling to SyncRes.

This allows for intermediate CNAMEs to be subject to RPZ
processing.

Split the ClientIP and QName processing for RPZ.

The first will be done initially only, while the second
will be used during CNAME chasing.

Merge pull request #9409 from mind04/pdns-race2

auth: clear the key cache after addKey()

Merge pull request #9381 from rgacogne/ddist-delaypipe-eintr

dnsdist: Handle EINTR in DelayPipe

Merge pull request #9382 from rgacogne/ddist-speedup-rr

dnsdist: Speed up the round robin policy

Clean some coverity reported cases of exceptions thrown but not caught.

See e.g. coverity report 1431930

auth: clear the key cache after addKey()

Merge pull request #9391 from omoerbeek/rec-new-rc-stats

rec: export record cache mutex stats via the various channels.

Merge pull request #9405 from rgacogne/fix-doc-per-zone-settings-domain-metadata

doc: Fix broken link to "per-zone-settings-domain-metadata"

Merge pull request #9406 from Habbie/pdnsutil-static-declaration

pdnsutil: file-local functions need to be static

Fix warning: initialized lambda captures are a C++14 extension

dnsdist: Handle an empty servers list in the RR policy

Co-authored-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

dnsdist: Speed up the round robin policy

Working with indices instead of copying shared pointers results in
a nice speed up, cutting the CPU time in half.

Merge pull request #9408 from RvdE/patch-5

Fix building with LLVM11

Merge pull request #9396 from omoerbeek/rec-rpz-ip-multi

Rec: allow multipe local data records when doing RPZ IP matching

Sorting of items

s/mutex/lock in descriptions

Co-authored-by: Remi Gacogne <rgacogne+github@valombre.net>