pkgs: drop EL6

rec: drop EL6 pkg support

Merge pull request #9799 from Habbie/backport-9574-to-rec-4.4.x

rec-4.4.x: Ensure socket-dir matches runtimedir on old systemd

Merge pull request #9825 from omoerbeek/backport-9807-to-rec-4.4.x

rec: Backport 9807 to rec 4.4.x: Untangle the validation/resolving qnames and qtypes

rec: Untangle the validation/resolving qnames and qtypes

(cherry picked from commit 6d1218188747bdeb9f8fddc52a0499a8d9490ff4)

Merge pull request #9821 from rgacogne/rec44-more-bogus-states

rec-4.4.x: Move to several distinct Bogus states, for easier debugging

rec: Preserve compatibility with Lua scripts using the 'Bogus' state

Merge pull request #9805 from omoerbeek/backport-9790-to-rec-4.4.x

rec: backport 9790 to rec-4.4.x: Do not chase CNAME during qname minization step 4

rec: Export a 'Bogus' metric as the sum of all other Bogus metrics

rec: Add more Bogus states to better match rfc8914 extended codes

(cherry picked from commit fecac3ba8edd4f14d88bab29a215ef246e5af764)

rec: Move to several distinct Bogus states, for easier debugging

This is especially useful after the fact, when the Bogus state is
retrieved from a cache and we don't have any clue left as to how
we ended up with that state.

(cherry picked from commit fd8709153d9318904ef2b1063bff10244d9724fd)

rec: Do not chase CNAME during qname minization step 4

(cherry picked from commit 7373cea835239f1b18a72000821bb17b516d954b)

Ensure socket-dir matches runtimedir on old systemd

This is mostly a hack for systemd version <240 so using virtual hosting
on Ubuntu Bionic and EL7 does not lead to surprises.

This Commit explicitly adds the `--socket-dir` to the invocation of the
unit. Any users who want to use their own runtimedirs should use a
drop-in unit overriding ExecStart. I believe this does not validate the
principle of least surprise for those using the PowerDNS provided
packages and virtual hosting.

Fixes #9485

(cherry picked from commit 7bbaae110abb53f43d0bf60c81efe3bb8630a925)

Merge pull request #9774 from Habbie/backport-9766-to-rec-4.4.x

rec-4.4.x: APL records: fix endianness problem.

APL records: fix endianness problem. Closes #9763

(cherry picked from commit a0d9f00d8d76bb07847abb2f837f7c629fb238b2)

Merge pull request #9719 from omoerbeek/backport-9707-to-rec-4.4.x

rec: Backport to 4.4.x: Do not add request to a wait chain that's already processed or being processed.

Merge pull request #9687 from omoerbeek/backport-9651-to-rec-4.4.x

rec: Backport 9651 to rec 4.4.x: Allow to specify a name in getMetric() that is used for Prometheus export only.

Do not add request to a wait chain that's already processed or being processed.

The following scenario can occur. Multiple concurrent clients doing the same query A
are needed to trigger it:

1. Incoming request A, which has a need for request X
2. Add request X to chain because we already have an identical outstanding request
3. We receive the reply for X
4. We process the chain
5. In the meantime a new request for X that's identical is added to the chain
6. The added id in step 5 is not being processed anymore -> timeout

This can happen if request X has TTL 0, otherwise the record cache would have a hit.

(cherry picked from commit c647a254a0f863aabeaea9d33f673afa26c60457)

Merge pull request #9710 from rgacogne/rec44-fakeaaa-cname-loop

rec-4.4.x: Avoid a CNAME loop detection issue with DNS64

Merge pull request #9705 from Habbie/rec-4.4-nod-oversize

rec-4.4: do not send overly long NOD lookups

rec: Add a regression test for the DNS64 CNAME loop detection issue

(cherry picked from commit c222611257ba7230b7d5f5cea76bf79067079ce2)

rec: Avoid a CNAME loop detection issue with DNS64

When the requested qname is a CNAME to a second CNAME, the CNAME
loop detection might get incorrectly triggered because the CNAMEs
were already present in the vector of result records.

(cherry picked from commit acc9751140f91020c2917831b70c7d51f744e91e)

rec-4.4: do not send overly long NOD lookups

Merge pull request #9683 from omoerbeek/backport-9680-to-rec-4.4.x

rec: Backport 9680 to rec 4.4.x: If a.b.c CNAME x.a.b.c is encoutered, switch off QM

Only prepend the pdns_recursor_ prefix if no 2nd arg to getMteric was
given.

This also fixes the lookup of the HELP entries since they require the
original key. So getAllStats() now returns the key, the prometheus name
and the value.

(cherry picked from commit 308cd14cac73ba48aca3d3953e12d1cc04a96bbb)

Allow to specify a name that is used for Prometheus export only.

This can be used to specify names that are structured using Prometheus
conventions. If no name Prometheus name is given, do a more thorough
conversion to a name Prometheus likes by replacng any non-alnum
char by an underscore.

(cherry picked from commit 57c5fefb0f2d97e072f8a9e34a30729e6c24b52b)

Merge pull request #9682 from omoerbeek/backport-9679-to-rec-4.4.x

rec: Backport 9679 to rec 4.4.x: Fix the processing of answers generated from gettag

Use the same words for for both cases

(cherry picked from commit 90ef54c85523e845107fecda53b365e50ae69569)

If a.b.c CNAME x.a.b.c is encoutered, switch off
QM, it will lead to great recursion depth without result.

(cherry picked from commit 157d17730c4fa6b25c1e0f5e720b7e73ac7723aa)

rec: Add a regression test for answers generated from gettag

(cherry picked from commit 9fbfe39b195982fbce4123014a943a6f02bbe58d)

rec: Fix the processing of answers generated from gettag

The logic to let a RPZ match override the answers generated from Lua
was broken, ignoring the generated values.

(cherry picked from commit 995884ff35d9591857edd6aef0df07e892c19485)

Merge pull request #9605 from omoerbeek/rec-backport-to-4.4.x-sec-2020-07

rec: Backport of CVE-2020-25829 (any-cache-update) to 4.4.x

rec: Add a unit test for the ANY "just-in-time" cached records case

rec: Fix validation when more than one cached record is returned

We need to validate them RRSet by RRSet.

rec: Fix returning more than one cached records

The existing implementation did not properly update the DNSSEC
and authoritative status, and did not include all the needed
RRSIG and additional records.

rec: Prevent updating the status of all cached records for a name

Before that fix, it was possible to make the recursor update the
DNSSEC status of all cached records for a given name using an ANY
query.
This real issue is that we should retrieve the needed RRSIGs and
authority records for all cached records when processing an ANY
query, but this fix prevents the cache pollution which is the worst
part of the issue.

Merge pull request #9579 from omoerbeek/backport-9434-to-rec-4.4.x

rec: Backport 9434 to rec 4.4.x: When deciding if we are auth in the local auth or forwarding case, DS is special

Fix test

(cherry picked from commit 4459dcf53f77a6de1b2802567146622cd80db276)

Test for the reported issue wrt doing an spurious DS queries

I'm trying to setup a valid a.test and b.test, using a non-recursive forward
but somehow my DNSSEC setup is not right. Cannot spot the issue atm.

(cherry picked from commit 5879cd2d6d8d374a3aaa38e280a16c4d01d16ef4)

When deciding if we are auth in the local auth or forwarding case,
for DS records we need to look at the parent of the particular name.

Seems to fix #9433

(cherry picked from commit 68f6b16cb2709d5cc9ca53823def2781cc2f1f06)

Merge pull request #9577 from omoerbeek/backport-9569-to-rec-4.4.x

rec: backport 9569 to rec 4.4.x: Don't parse any config with `--version`

Merge pull request #9576 from omoerbeek/backport-9562-to-rec-4.4.x

rec: Backport 9562 to rec 4.4.x: Expose typed cache flush via Web API

recursor: Don't parse any config with `--version`

This ensures we don't log anything _apart_ from the version info.
Spotted in https://github.com/PowerDNS/pdns_recursor-ansible/issues/66

(cherry picked from commit 2733183fc0b35ed2b59c87aab5aaaa86688db778)

Be explicit we're talking about the recursor.

(cherry picked from commit 193a9a7a0b1c8791d4d9de2bee290d62a8d0114c)

Expose typed cache flush via Web API

(cherry picked from commit 3bb2d9875c82776d91c2c7a7d4de1a8ce8ed3097)

Merge pull request #9557 from omoerbeek/rec-backport-9515-to-4.4.x

rec: Backport #9515 to rec 4.4.x: actually fix wipe-cache-typed

Backport #9515 to 4.4.x: actually fix wipe-cache-typed

Merge pull request #9528 from omoerbeek/backport-9471-to-rec-4.4.x

rec: Backport 9471 to rec-4.4.x: Log when going Bogus because of a missing SOA in authority

Merge pull request #9526 from omoerbeek/backport-9495-to-rec-4.4.x

rec: Backport 9495 to rec 4.4.x: Watch the descriptor again after an out-of-order read timeout

rec: Log when going Bogus because of a missing SOA in authority

A missing SOA in the authority section of negative (NXDOMAIN, NODATA)
answers in a DNSSEC-secure zone currently leads to a Bogus result,
because the needed NSEC/NSEC3 could not be validated.

(cherry picked from commit 832f4fbdd7ef50d0e0ff5135ee6e270acc22df9d)

rec: Fix a typo in a comment

Co-authored-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>
(cherry picked from commit ebcde9cbc9e1239157963e581327cdacde3a862f)

rec: Watch the descriptor again after an out-of-order read timeout

It might be that there was no other incoming query on that connection
and we timed out while the response had not been sent yet, but the
client might want to re-use the connection after receving the response.
We try to reset the TTD, but that might fail when the socket descriptor
has already been removed.

(cherry picked from commit b05ef1b472cfa3597dda44075f3947abd565008b)

Merge pull request #9506 from omoerbeek/backport-9497-to-rec-4.4.x

rec: Backport 9497 to rec 4.4.x: raise an exception on invalid content in unknown record

rec: Fix invalid unknown record in the unit tests

(cherry picked from commit dda934facbac96a0aad5a82f84113009ddf3ec92)

Raise an exception on invalid first part (!= \#) in unknown records

(cherry picked from commit 2d79e3273b9b68bbdb0e45a2df1fbe4769296d07)

Raise an exception on invalid hex content in unknown records

Otherwise we can end up reading uninitialised memory from the stack,
possibly leaking information.
This is only an issue if the content is read from an untrusted source
and can be passed back to an attacker.

(cherry picked from commit f5234115710094a8a7bd0b5ebddaa1fde83a52f0)

Merge pull request #9465 from omoerbeek/backport-9448-to-rec-4.4.x

rec: Backport 9448 to rec 4.4.x: We only want to do QName Minimization for the names in a forwarded  domain.

Use boost::optional to pass optional cutoff point. This way the
proper cutoff point can be specified for forwarded zones only,
making it possible to change it meaning witjout regular nameserver
lookups.

(cherry picked from commit 96ce7d340951b31a3e3d042455a1f0e7f3a6eb56)

Make code more clear by eliminating the "ancestor" as suggested by @rgacogne

(cherry picked from commit 1722d283bd3cf119870988213e9052bf0312a3e3)

If we're looking in the cache for NS for a forwarded name, we
can cut off the search at the forwarding domain.

I'm not sure if I like the added complexity...

(cherry picked from commit 007fb8008a7da4698dde9f65a8d7ace72d47970c)

Take into account a potentially more specific NS we might
have in cache.

Also, do the forward lookup only once before the loop.

(cherry picked from commit afb1d0393abd613b2f362e48d1e3dde3d34689ca)

We only want to do QName Minimization for the names in a forwarded
domain.

E.g. if foo.bar.com is forwarded and the qname is x.foo.bar.com,
start the QM process with ancestor foo.bar.com, so the query is
directed to the forwarder.  But if the qname is baz.bar.com, we do
regular QM, starting with the regular ancestor.

Should fix #9438 without breaking having forward for .

(cherry picked from commit 21af3294a6fdacd9632ecb3a05eb2ccf204d2fdb)

Merge pull request #9458 from omoerbeek/backport-9454-to-rec-4.4.x

rec: backport to 4.4.x: Parts is reused, so clear the names it might contain.

Merge pull request #9459 from rgacogne/rec44-remove-non-rec-tests

rec-4.4.x: Remove non-recursor tests

rec-4.4.x: Remove non-recursor tests

Parts is reused, so clear the names it might contain.

(cherry picked from commit bc3d2b7386e058c39872a3aa74101283b6f1af45)

Merge pull request #9376 from omoerbeek/rec-rpz-store-trigger

Rec: rpz store trigger in appliedPolicy and protobuf message

Add new field `AppliedPolicyHit` to regress test.

Document new Lua dq fields and centralize logging in handle olicyHit functions.
Plus corrections from review.

Define a log string method for a Policy and use it in appropriate places
to log what is going on wrt RPZ processing.

Also record the value that caused a hit.

For triggers fomr rpz zones it makes sense to store them as listed there.
For hit values (names or IPs) it makes more sense to store them
in the regular string value and not list them as rpz trigger format.
e.g.: a trigger is listed

24.0.2.0.192.rpz-ip.rpz.local.

A corresponding hit as

192.0.2.1

Use static constr string instead of string literals for some well-known names.

Appease spell check

Check appliedPolicyTrigger in protobuf regress test

Log trigger in protobuf message

Store the trigger hit in the (applied)Policy.

While there fix (a (I thnk) doc bug: appliedPolicy.policyAction does
not exists. I think what is meant is policyType. So document that.

Merge pull request #9414 from rgacogne/rec-cname-rpz-4

rec: Apply filtering policies (RPZ) on CNAME chains as well

Merge pull request #9379 from rgacogne/ddist-clear-console-history

dnsdist: Add the 'clearConsoleHistory' command

Merge pull request #9419 from Habbie/sdig-id-nonzero

sdig: report non-zero ID in response

Merge pull request #8638 from threatstop/master

Support for APL Records

sdig: report non-zero ID in response

Use an union for the ipv4 and ipv6 fields

Removed duplicate entry
Rewrote description as a single line

rec: Update the documentation to better describe our RPZ behaviour

rec: Add DNSFilterEngine::Policy::wasHit() to prevent code duplication

rec: Trust the result from doCNAMECacheCheck() for RPZ hits

Merge pull request #9411 from omoerbeek/rec-inited-capture-is-cxx14

rec: Fix warning: initialized lambda captures are a C++14 extension

Merge pull request #9417 from PowerDNS/omoerbeek-patch-1

rec: FIx a few "warning: comparison of integers of different signs" on clang.OpenBSD

FIx a few "warning: comparison of integers of different signs" on clang/OpenBSD

Merge pull request #9375 from omoerbeek/rec-qmin-fallback-depth

rec: Allow some more depth headroom for the no-qname-minimization fallback case

Merge pull request #9415 from PowerDNS/omoerbeek-patch-1

auth: missing override

missing override

Merge remote-tracking branch 'origin/rec-cname-rpz-4' into rec-cname-rpz

rec: Add regression tests for RPZ CNAME chains

rec: Properly handle RPZ hits for records retrieved from the cache

rec: When adding custom records from RPZ, remove conflicting ones

Document the extra allowance in case of qname-minimization fallback.

Zap some redundant args

dnsdist: Dcocument the new 'clearConsoleHistory()' command

Merge pull request #9412 from omoerbeek/rec-channel-coverity

rec: Clean some coverity reported cases of exceptions thrown but not caught.