rec: Don't choke on escaped content in getZoneCuts()

`getZoneCuts()` was constructing a `DNSName` by passing a raw label returned
from `DNSName::getRawLabels()` as a string. The constructor then tried to handle
escaped characters from the string, resulting in a different `DNSName` than the
expected one. This caused the `qname != begin` condition to be false even after
every label in `labelsToAdd` had been added, causing an UB by calling
`std::vector::back()` on an empty vector.
Using `DNSName::prependRawLabel()` instead prevents this issue since the string is
not escaped.

(cherry picked from commit 754914f0177cd990db16ff0cc29c8789e94b32bb)

Merge pull request #4770 from rgacogne/rec40-backport-4769

Backport #4769 rec: Set the result to NoError before calling `preresolve`

rec: Set the result to NoError before calling `preresolve`

Otherwise `rq.rcode` needs to be set explicitly when handling the
query from `preresolve`, which is not documented and wasn't the case
before.

(cherry picked from commit ef3b6cd7719e968364f6ad7692ff4287829f37f1)

Merge pull request #4757 from rgacogne/rec40-backport-4724

Backport #4724: rec: Add `getRecursorThreadId()` to Lua, identifying the current thread

Merge pull request #4756 from rgacogne/rec40-backport-4715

Backport #4715: Specify that dnsmessage.proto uses protobuf version 2

rec: Add `getRecursorThreadId()` to Lua, identifying the current thread

(cherry picked from commit b401545341c7e4bd2d27940e95f9fe1af374479d)

Specify that dnsmessage.proto uses protobuf version 2

Recent proto-c versions are complaining loudly otherwise.

(cherry picked from commit 2e14d4bbf6549c70e3422b315287bc69bfe398dd)

Merge pull request #4647 from pieterlexis/backport-4629

Backport #4629:  Handle CNAMEs at the apex of secure zones to other secure zones

Merge pull request #4739 from rgacogne/rec40-dnsname-4718

Backport 4722: Fix incorrect length check in `DNSName` when extracting qtype or qclass

Merge pull request #4695 from rgacogne/backport-4691

Backport #4691: rec: Wait until after daemonizing to start the RPZ and protobuf threads

Fix incorrect length check in `DNSName` when extracting qtype or qclass

In `DNSName::packetParser()`, the length check might have been incorrect
when the caller asked for the `qtype` and/or the `qclass` to be extracted.
The `pos + labellen + 2 > end` check was wrong because `pos` might have already
been incremented by `labellen`. There are 3 ways to exit the main loop:

* `labellen` is 0, the most common case, and in that case the check is valid
* `pos >= end`, meaning that `pos + labellen + 2 > end` will be true regardless
of the value of `labellen` since it cannot be negative
* if `uncompress` is set and a compressed label is found, the main loop is
broken out of, and `labellen` still holds a now irrelevant, possibly non-zero value
corresponding to the first byte of the compressed label length & ~0xc0.

In that last case, if the compressed label points to a position > 255 the check
is wrong and might have rejected a valid packet.
A quick look throught the code didn't show any place where we request decompression
and ask for `qtype` and/or `qclass` in a response, but I might have missed one.

Reported by Houssam El Hajoui (thanks!).

(cherry picked from commit 7b9c052c617d02e1870195d0f216732047d56e22)

Merge pull request #4730 from Habbie/rec-4.0.x-travis-only-rec

do not build/test auth, dnsdist, docs

do not build/test auth, dnsdist, docs

Merge pull request #4729 from Habbie/rec-4.0.x-travis-update

stop auto-started pdns with 0.0.0.0 bind, to allow individual binds

stop auto-started pdns with 0.0.0.0 bind, to allow individual binds

Merge pull request #4717 from rgacogne/backport-4716

Backport #4716: rec: Remove leftover debug msg in `RecursorLua4::DNSQuestion::setRecords()`

rec: Remove leftover debug msg in `RecursorLua4::DNSQuestion::setRecords()`

(cherry picked from commit 3c82a3e58f689324b4c700c8bdad9dd9fb351065)

rec: Wait until after daemonizing to start the RPZ and protobuf threads

Otherwise they are killed when we call `fork()`.
We still want to actually parse the configuration to check for syntax
errors before daemonizing to be able to report any error, so when
`daemon` is set to `yes`, we parse the Lua configuration early
without starting any threads, and then again, starting the threads
that time, after daemonizing.

(cherry picked from commit a4241908a1c80c4293cfcd5056bb67138958f0e6)

Merge pull request #4677 from pieterlexis/backport-4674

Backport #4674: Enable protobuf in CentOS 6 packages

Merge pull request #4636 from rgacogne/rec-backport-4577

Backport #4577: rec: Fix src/dest inversion in the protobuf message for TCP queries

Update boost requirement for DNSName

This version is known to work (CentOS 7)

(cherry picked from commit 46104a7e4ebc19419a3908141358289332709eea)

Add protobuf support to EL6 packages

(cherry picked from commit 7cfda92fa027ecfadc42a6c1063f852a52314c1c)

Merge pull request #4675 from pieterlexis/backport-4672

Backport #4672: On (re-)priming, fetch the root NS records

On (re-)priming, fetch the root NS records

Merge pull request #4652 from rgacogne/rec-40-backport-4573

Backport #4573: Fix building with ECDSA support disabled in libcrypto

Fix building with ECDSA support disabled in libcrypto

(cherry picked from commit aa74d164ae29269168d048d2cc8d7e1f984774c4)

Fix a DNSSEC trace log message

Handle CNAME at secure zone apex to secure zone

Closes #4466

Add test for #4466

rec: Fix src/dest inversion in the protobuf message for TCP queries

(cherry picked from commit 35a7fc41b202da6406f88e79d0bd7b3dccfcae5c)

Merge pull request #4599 from rgacogne/backport-4554

Backport #4554: Add requestorId and some comments to the protobuf definition file

Merge pull request #4610 from pieterlexis/backport-4602

Backport #4602:  NSEC3 optout and Bogus insecure forward fixes

Fix comment indent

Add an RFC quote in the right place

NSEC3 optout and Bogus insecure forward fixes

After the change to zonecuts to find key material, the NSEC3 checking
returned an (incorrect) 'covering nxdomain' for a forwarded subzone with
no DS record in its parent. After fixing this, the NSEC3 optout test
failed as Bogus (instead of insecure). This was fixed by actually
checking the optout flag on a delegation NSEC3 record.

Merge pull request #4597 from pieterlexis/backport-4377-4489

Backport #4377 and #4489: Caching fixes

Merge pull request #4595 from pieterlexis/backport-4516

Backport #4516: On RPZ customPolicy, follow the resulting CNAME

Merge pull request #4594 from pieterlexis/backport-4431

Backport #4431: don't go bogus on zero configured DSs

Merge pull request #4593 from pieterlexis/backport-compiler-warn-fixes

Backport compiler warn fixes

Merge pull request #4591 from pieterlexis/4.0-dnssec-zone-cut

Backport #4389 Switch DNSSEC to using zone-cuts to find key material

Add requestorId and some comments to the protobuf definition file

(cherry picked from commit 0caa1aa850208caf18924b49e5be5ca7cdbf0515)

Add tests for #4369

Move DNSSEC regression tests to 127.0.0.X

DNSSEC: Document interaction with forward-zones

Make the negcache forwarded zones aware

Because of DNSSEC (without NTAs configured), we 'leak' the forwarded
name to the cache when looking for the DNSKEY. This resulted in NXDOMAIN
answers for actual NXDOMAINs, but with the root SOA record. Leading to
inconsistent answers to the client.

Add tests for #4483

rec tests: create controlsocket dirs idempotently

Fix the fields in two debug lines

Cache records for zones that were delegated to from a forwarded zone

Fixes #4483

On RPZ customPolicy, follow the resulting CNAME

Closes #4188

Rec: don't go bogus on zero configured DSs

Fixes #4430

Silence a GCC 6.2 compiler warning

add gcc 6.2 to boost.m4

DNSSEC: generalize getDenial() function

 * Add qname denial check for NSEC
 * Add qtype denial checks
 * Hook up to getKeysFor()

DNSSEC: Implement keysearch based on zone-cuts

This prevents us sending out useless queries for DS records and doesn't
confuse us anymore when the delegation jumps over several labels.

Add getZoneCuts() function

Merge pull request #4512 from rgacogne/backport-4440

Backport #4440: Fix Lua-enabled compilation on OS X and FreeBSD

rec: Fix Lua-enabled compilation on OS X and FreeBSD

(cherry picked from commit 546d1fbf9efe8a4ba81c92d43bc43be457e60713)

Merge pull request #4511 from rgacogne/backport-4499

Backport #4499: Add support for boost::context >= 1.61

rec: Always test if BOOST_VERSION is < 1.61, not >, for readability

(cherry picked from commit 64413f6afd9b3dfeb1bef158f48bb3be496a4e04)

rec: Add support for boost::context >= 1.61

(cherry picked from commit f53de853d71bd1c058b507549d35312f9fa4847f)

Merge pull request #4462 from pieterlexis/backport-4461

Backport #4461: Fall back to SystemV ucontexts on boost >= 1.61

Rec: Disable boost-fcontext on boost 1.61 and up

Fall back to the slower system v ucontext.

(cherry picked from commit cb51346bbd4ea54bc86966e80aa68c990c03dbce)

Revert "Rec: support boost's fcontext in boost 1.61+"

This reverts commit a30361f9f07cb3c4f9ad32dc83555bc593aa3311.

(cherry picked from commit f103e371bd83381feb11dba742843484bf8e95f2)

Merge pull request #4426 from pieterlexis/backport-4425

Backport #4425: Fix a protobuf regression (requestor/responder mix-up) caused by a94673e

Fix a protobuf regression (requestor/responder mix-up) caused by a94673e

(cherry picked from commit b3261c205742fcb0494735d20294d10a615cd10f)

Merge pull request #4422 from pieterlexis/rec-backport-4403

Backport #4403: (rec) Fix build with OpenSSL 1.1.0 final

Merge pull request #4420 from pieterlexis/backport-4396

Backport #4396: add boost context ldflags so freebsd builds can find the libs

Merge pull request #4419 from pieterlexis/backport-4381

Backport #4381: Parse query-local-address before lua-config-file

Merge pull request #4418 from pieterlexis/backport-4383

Backport #4383: Fix accessing an empty policyCustom, policyName from Lua

Merge pull request #4417 from pieterlexis/backport-4385

Backport #4385: Add Lua binding for DNSRecord::d_place

Merge pull request #4416 from pieterlexis/backport-4402

Backport #4402: Ignore NS records in a RPZ zone received over IXFR

Merge pull request #4415 from pieterlexis/backport-4404

Backport #4404: Don't validate when a Lua hook took the query

Merge pull request #4414 from pieterlexis/backport-4394

Backport #4394: Support Boost 1.61+ fcontext

Merge pull request #4413 from pieterlexis/backport-4391

Backport #4391: DNSSEC: Actually follow RFC 7646 §2.1

Merge pull request #4412 from pieterlexis/backport-4388

Backport #4388: Fix RPZ default policy not being applied over IXFR

Bump version requirement for CRYPTO_ctr128_encrypt

While CRYPTO_ctr128_encrypt should be available in 1.0.1,
apparently in some library builds (Ubuntu) one can not link
against it.

(cherry picked from commit 3e4b01664660f1a8d9564508843a7e51b8f7549e)

Fix build with OpenSSL 1.1.0 final

Where aes.h apparently no longer includes opensslv.h.

(cherry picked from commit e6fc073faf3b1d9b4da301821da40dff33186057)

add boost context ldflags so freebsd builds can find the libs

(cherry picked from commit 01f097e45a286355c93da0acf78756e59ad9c126)

Parse query-local-address before lua-config-file

@42wim discovered that the query-local-address was not used for the
initial RPZ AXFR. However, it was used in subsequent IXFRs. It appears
that we executed the lua-config-file before checking the
query-local-address(6).

(cherry picked from commit b7ef582884c603ea45e602c3e42f254cf869d2d7)

rec: Fix accessing an empty policyCustom, policyName from Lua

Reported by @42wim (thanks!).

(cherry picked from commit 98c28a684f92c052bd7fb2e4a0eb0b831ac563de)

rec: Add Lua binding for DNSRecord::d_place

Also document the members and methods of the DNS Record object.

(cherry picked from commit 57d0c73b877406e63bbe629ce813cccc49b8cd01)

rec: Fix RPZ default policy not being applied over IXFR

Reported by @42wim (thanks!).

(cherry picked from commit 9db6ece12afdc5703220539a8d3bde4499a2dbff)

Add test for NTA at level of TA

(cherry picked from commit b91735683ae7d4c5f5fe3a4d84fd99db862be6f5)

DNSSEC: Actually follow RFC 7646 §2.1

We were off by one when counting labels, so when an NTA was added for a
name where a TA was configured, we would still attempt validation.

Reported by @jpmens

(cherry picked from commit f418a272a9b031ea1eddf031548a16e23a35bd82)

Rec: show context lib in configure output

(cherry picked from commit 0079fda22e9f8b32e5f6727d023d0b421e5ac1e3)

Rec: support boost's fcontext in boost 1.61+

(cherry picked from commit a30361f9f07cb3c4f9ad32dc83555bc593aa3311)

Rec: Don't validate when a Lua hook took the query

This was in place for prequery, but not for nodata and the others.
Thanks to @ZaphodB for the report.

Fixes #4397

(cherry picked from commit 3ca4e7351e75e602644eb5504246f7ba446b6b73)

rec: Ignore NS records in a RPZ zone received over IXFR

They are already ignored over AXFR, but not over IXFR.
Reported and based on a patch by @42wim (thanks!).

(cherry picked from commit ed8c725224b5192367149897cfaaaf188ab0b910)

Merge pull request #4393 from rgacogne/dnsdist-110-beta-changelog

dnsdist: Update ChangeLog for 1.1.0-beta1

dnsdist: Update ChangeLog for 1.1.0-beta1

Merge pull request #4346 from mind04/anytotcp

change default for any-to-tcp to yes

Merge pull request #4305 from rgacogne/dnsdist-lua-anon

dnsdist: Add an optional Lua callback for altering a Protobuf message

Merge pull request #4350 from rgacogne/rec-tcp-gettag

rec: Call `gettag()` for TCP queries

Merge pull request #4380 from rgacogne/dnsdist-clang-ebpf

dnsdist: Fix compilation with clang when eBPF support is enabled

Merge pull request #4387 from pieterlexis/port-overflow

ComboAddress: don't allow invalid ports

Merge pull request #4379 from sspans/patch-1

Update notrack rules

ComboAddress: don't allow invalid ports

Add tests for this.

Fixes: #4382

dnsdist: Fix warnings when compiling with clang

remove hash signs

As requested by @ahupowerdns, to make copy-pasting easier.