docs(remote): Document that real-remote is a CIDR-netmask

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

docs(remote): Move pre v4.0 content to pre v4.0 breaking section

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

docs(remote): Add sections to important notices

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

auth sdist: copy files as files, not as new dirs

Signed-off-by: Peter van Dijk <peter.van.dijk@powerdns.com>

auth upgrade notes: stop confusing people with future version numbers

Signed-off-by: Peter van Dijk <peter.van.dijk@powerdns.com>

Merge pull request #16409 from Habbie/gh-diskspace

auth-backend tests: make more diskspace on the github runner

Merge pull request #16368 from pieterlexis/dnsdist-aarch64

ci(dnsdist): Build and test on arm64/aarch64

Merge pull request #16405 from rgacogne/ddist-fix-outgoing-tls-yaml-doc

dnsdist: Fix the outgoing DoT YAML example

auth-backend tests: make more diskspace on the github runner

ci(aarch64): no -fcf-protection=full on aarch64

ci(dnsdist): Build and test on arm64/aarch64

Merge pull request #16394 from omoerbeek/rec-pubsuffix-eod

rec: don't use a vector of string for internal pubsuffixlist

dnsdist: Fix the outgoing DoT YAML example

As reported by Eddict (thanks!).

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16383 from pieterlexis/dnsdist-OT-per-rule

feat(dnsdist): Add OT trace for each rule

Remove backwards compatibility code

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16375 from omoerbeek/dnsdist-http1-date-header

dnsdist: Include a Date: response header for rejected HTTP1 requests

Merge pull request #16255 from rgacogne/openssl-3.6-leak-ocsp

dnsdist: Fix a memory leak with OCSP and OpenSSL 3.6.0

Merge pull request #16392 from omoerbeek/mangle-rust-version

Make version number in rust lib confirm to Rust specifics

Merge pull request #16385 from Habbie/auth-5.0.1-docs

auth 5.0.1 secpoll and changelog

Better words in comment

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

auth 5.0.1 secpoll and changelog

Co-authored-by: Miod Vallat <miod.vallat@powerdns.com>
Signed-off-by: Peter van Dijk <peter.van.dijk@powerdns.com>

Merge pull request #16388 from romeroalx/fix-upload-builds-pulp

gh actions build-packages: fix pattern for the download-artifacts action and publication issues

rec: don't use a vector of string for internal pubsuffixlist

The construct

std::vector<std::string> x  { not event that many string literals };

blows up with some compilers. Worst I have seen is (with not even
8k strings): g++12 develops a resident size of 26G.

This just creates a (blank line and comments stripped) in-memory version of the file that is
fed to the same code as an external file.

Problem noted by @wojas.

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Document initMetric

Signed-off-by: Jess Bees <jesse@toomanybees.com>

Use a variant of string/unordered map as argument

Using a Lua table for an argument is more intuitive than having an
optional 2nd argument, and now `initMetric`'s signature is actually
compatible with `getMetric`'s, rather than just being inspired by it.

Signed-off-by: Jess Bees <jesse@toomanybees.com>

Make version number in rust lib confirm to Rust specifics

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

gh actions build-packages: avoid duplicates download-artifacts action. Fix publications

Combine a few args to get() and replace() into struct

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

feat(dnsdist): Add OT trace for each rule

Limit dynamic metric types to a set of valid strings

Basing this on code from dnsdist, it's limited to "counter" and "gauge"
types.

Signed-off-by: Jess Bees <jesse@toomanybees.com>

Add prometheus types/descriptions to dynamic metrics.

This commit adds optional types and descriptions to dynamic metrics, so
they can be written to the prometheus metrics web endpoint in comments.

Adds `initMetric` function to Lua, which is similar to getMetric, but
has two additional arguments: the metric's prometheus type, and the
metric's description. Metrics that are first declared with `getMetric`
will have no type or description, and subsequent calls to `initMetric`
will have no effect (the same way that calling `getMetric` multiple
times with different prometheus metric names will have no effect).

Signed-off-by: Jess Bees <jesse@toomanybees.com>

ci: Update `actions/setup-python` to `v6`

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

ci: Update `actions/upload-artifact` to `v5`

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

ci: Update `actions/download-artifact` to `v6`

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

ci: Update `actions/checkout` to `v5`

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

Store if a RRSet was retrieved over TCP in the record cache

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Include a Date: response header for rejected HTTP1 requests

This allows OpenBSD ntpd time constraint retrieval to work properly
with nghttp2 incoming DoH.

Note that requests having no alpn data do not appear in any stats.
Should that be changed?

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16374 from miodvallat/dumansw

auth dumresp: fix fd leak

Be sure to not leak a socket if tcpConnectionHandler() throws.

Fixes: #16365
Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Regex: Appease clang-tidy

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Regex: Prevent accidently copying the underlying `regex_t`

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

fixup! dnsdist: Document that our `Regex` is Posix Extended Regular Expressions-compatible

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Document that our `Regex` is PCRE-compatible

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Just in case, catch `PDNSException` while loading YAML configuration

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Properly handle invalid regular expressions

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Remove unnecessary check.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Factor duplicated code.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Of course now I need to silence clang-tidy.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Put more information in the XFR working struct.

Also, remove duplicate DomainInfo retrieval for IXFR.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16367 from pieterlexis/dnsdist-aarch-ifdef

fix(dnsdist): Fix builds on aarch64

fix(dnsdist): Fix builds on aarch64

Allow different mapsize values for main and shards.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16352 from miodvallat/cecity

api: relax zone name check in view removal

On second thought, relax the zone check for the view add operation too.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Fix buglet which only caused a warning during tests.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Relax zone checks when removing a zone from a view.

It's ok for the zone to no longer exist at this point.

Fixes: #16351
Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16342 from omoerbeek/rec-prep-sec-2025-06

rec: Prep for Security Release 2025-06

Stash more variables into the update context struct.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16338 from omoerbeek/rec-delegation-accept

rec: tighten delegation accept

Merge pull request #16333 from Habbie/dnsdist-reg-lua-function-nil

regression-tests.dnsdist: detect function absence and report it better

Merge pull request #16321 from pieterlexis/dnsdist-ipcrypt2-aarch64

dnsdist: fix building ipcrypt2 on aarch64

Tidy

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Prep for Security Release 2025-06

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

More strict validation of the relation between qname, rname and authname for NS records

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Don't cache non-auth rrsets if a Bogus rrset was found in the answer

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Check to see if authoritative NS and/or address records are usable

In the typical case we deal with non-authoritative records here, but
we *might* have them in cache authoritatively.

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

rec: be more strict accepting delegations

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16294 from jsoref/fix-workflow-errors

Fix workflow errors

Merge pull request #16337 from zeha/rmgetline

Drop Socket::getline

doc: clarify tinydns wildcard divergence

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

Merge pull request #16306 from miodvallat/bacf

auth: attempt at technical debt reduction in RFC2136 code

Merge pull request #16287 from DeyanSG/cache_cleaning_race_fix

authoritative: Prevent a potential race condition in cache cleaning

Merge pull request #16293 from miodvallat/ujson

ext/json: sync with upstream

Merge pull request #16334 from Habbie/top-of-the-pops

luawrapper: correct lua_pop argument

Drop Socket::getline

Signed-off-by: Chris Hofstaedtler <chris.hofstaedtler@deduktiva.com>

store debug.traceback function before user can hide it from us

Signed-off-by: Peter van Dijk <peter.van.dijk@powerdns.com>

luawrapper: correct lua_pop argument

a negative argument to _pop has defined behaviour but never
does what the user expects.

Note that none of this matters as Lua will adjust the stack to
the 1 top item, which is the pushed boolean, after `return 1`

but I get confused every time I read the negative version

Signed-off-by: Peter van Dijk <peter.van.dijk@powerdns.com>

regression-tests.dnsdist: detect function absence and report it better

Merge pull request #16307 from omoerbeek/print-features

rec: explicit disabling/enabling of tls-gnutls for full and least configs and packages

chore(dnsdist): disable ipcrypt2 in minimal builds

feat(dnsdist): Make IPCrypt2 optional

fix(dnsdist): Detect compiler support for ipcrypt on aarch64

The `uint64x2_t` type is not supported for several functions in older
versions of the `arm_neon.h` header (e.g. GCC 13, 14).

Merge pull request #16323 from romeroalx/add-npm-swagger-actions

gh actions: add npm package for swagger test

gh actions: add npm package for swagger test

Merge pull request #16284 from rgacogne/ddist-add-test-for-suffix-match-from-yaml

dnsdist: Add a regression test for suffix-match dynamic block from YAML

dnsdist: Fix typo spotted by Miod!

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Also enabled tls-openssl in debian rules

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

dnsdist: Fix comment as suggested by Miod

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16259 from omoerbeek/auth-rec-lua-meson

auth and rec: Allow selecting a specific version of Lua with meson

Also handle tls-libssl explicitly, as noted by @zeha

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16308 from omoerbeek/coverity-20251020

rec: Fix a few Coverity found issues, all low severity move optimizations

Merge pull request #16071 from karelbilek/kb/connectx_fastopen

dnsdist: add support for TCP Fast Open for downstream connections on macOS

Merge pull request #16292 from rgacogne/ddist-fix-query-rules-tag-from-dynamic-block

dnsdist: Fix query rules bypass after tagging from a dynblock

Merge pull request #16214 from rgacogne/ddist-ffi-alternate-name

dnsdist: Refactor the FFI "alternate name" interface

Merge pull request #16181 from rgacogne/ci-add-daily-rust-audit

Add a daily workflow to run `cargo audit` against our Rust deps

rec: Fix a few Coverity found issues, all low severity move optimizations

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16298 from Habbie/rec-el-gnutls

recursor el-* build: depend on gnutls

Merge pull request #16297 from Habbie/podman-rec-rust-copy

rec builder: don't try to copy rust files that are not there

Copyright'r'us

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

More Clang-Tidyze™

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>