Revert "Merge pull request #947 from mind04/right"

This code only served to fix a combination of system misconfiguration and a
bug in glibc. Meanwhile it turns out this code is incorrect. Removing it.

(cherry picked from commit c96765dae8da4c9322ca4a80e3e101d64faf141f)

Merge pull request #4971 from rgacogne/auth40-tsig-canonical-algo

Backport #4961: Lowercase the TSIG algorithm name in hash computation

Lowercase the TSIG algorithm name in hash computation

`RFC2845` states that the algorithm name should be in `canonical wire
format` for the hash computation, which implies it should be lowercased.
We actually did lowercase it in 3.x, until it was moved to a `DNSName`
in 4.x.

(cherry picked from commit 68e9d647d4229c7a2ebd64d50837195d148c574b)

Merge pull request #4906 from rgacogne/auth40-revert-4638

Backport #4905: Revert "auth: In `Bind2Backend::lookup()`, use the `zoneId` when we have it"

Revert "auth: In `Bind2Backend::lookup()`, use the `zoneId` when we have it"

This reverts commit 937a66255ff05f2e754ef113833e54cc4cf2004b.
It doesn't work with multiple backends since the `zoneId` is passed to
every available backend on `lookup()`.

(cherry picked from commit 98b9845f2dae3a9fecc64aecaf41150b54388d26)

Merge pull request #4904 from pieterlexis/auth-4-centos-6-rpm-bind-backend

Backport #4903: Build the bind backend for CentOS 6 differently

Build the bind backend for CentOS 6 differently

Closes #4669
Closes #4902

Merge pull request #4895 from rgacogne/auth40-tsig-ixfr

Backport #4893: Check TSIG signature on IXFR

Check TSIG signature on IXFR

(cherry picked from commit 16c7f7823221d5d75282a77b2e9043b3f60e1ad2)

Merge pull request #4885 from rgacogne/auth40-spurious-rrs

Backport #4882: Don't parse spurious RRs in queries when we don't need them

Merge pull request #4891 from rgacogne/auth40-unknown-record-content-size

Backport #4889: auth: Correctly check unknown record content size

Merge pull request #4892 from rgacogne/auth40-webserver-exit

Backport #4887: auth: Don't exit if the webserver can't accept a connection

auth: Don't exit if the webserver can't accept a connection

This could lead to a Denial Of Service, before we even got a chance
to check that the remote client is allowed by the ACL.

Reported by mongo (thanks!).

(cherry picked from commit a84b0d994dfc39d4379050ff9249891ed3e82f56)

Don't parse spurious RRs in queries when we don't need them

auth: Correctly check unknown record content size

(cherry picked from commit b2af454119290be074fc873052d80631c5e16dce)

Merge pull request #4869 from rgacogne/auth40-backport-4852

Backport 4852: DNSName: Check that both first two bits are set in compressed labels

DNSName: Check that both first two bits are set in compressed labels

We checked that at least one of the first two bits was set,
but the 10 and 01 are combinations do not indicate a compressed label
and are reserved for future use.

(cherry picked from commit 99bbbc7bdf675509caf61f41464a1ae62c09f342)

Merge pull request #4863 from rgacogne/auth40-backport-4862

Backport #4862: jdnssec-tools 0.13 has been released

Merge pull request #4808 from rgacogne/auth40-backport-4791

Backport: 4791: Auth: Cleanup `DNSName::getRawLabels()` usage

jdnssec-tools 0.13 has been released

(cherry picked from commit 02f1e33288015a38161e1dc037c61dd0e2005bb1)

auth: Remove `XXX` comment after -hopefully- cleaning the `DNSName` pain

Auth: Cleanup `DNSName::getRawLabels()` usage

No real issue I'm aware of, but it's cleaner that way.

(cherry picked from commit f48c35c07dae04ab409f007d242b71692d49d5da)

Merge pull request #4755 from rgacogne/auth40-backport-4686

Backport #4686: calidns: Don't crash if we don't have enough 'unknown' queries remaining

Merge pull request #4754 from rgacogne/auth40-backport-4638

Backport #4638: auth: In `Bind2Backend::lookup()`, use the `zoneId` when we have it

auth: In `Bind2Backend::lookup()`, use the `zoneId` when we have it

After the initial lookup corresponding to a `DNSBackend::getAuth()`,
the subsequent ones already have the `zoneId`, so use it instead of
looping on `chopOff()` again. This should be much more efficient.

(cherry picked from commit 937a66255ff05f2e754ef113833e54cc4cf2004b)

calidns: Don't crash if we don't have enough 'unknown' queries remaining

(cherry picked from commit b4f5799bf3ed50dc0146a2bbfb2c61551de0136b)

Merge pull request #4750 from rgacogne/auth40-backport-4625

Backport #4625: auth: Unify usage of randomness source by using `dns_random()`

auth: Unify usage of randomness source by using `dns_random()`

`Utility::random()` is not impossible to predict, so even if we are not
using it for anything sensitive it's better to just use `dns_random()`
instead.
Reported by mongo (thanks!).

(cherry picked from commit d2116c15dbf1e0cef93e478678d1f9d403d87f90)

Merge pull request #4738 from rgacogne/auth40-dnsname-4718

Backport 4722: Fix incorrect length check in `DNSName` when extracting qtype or qclass

Fix incorrect length check in `DNSName` when extracting qtype or qclass

In `DNSName::packetParser()`, the length check might have been incorrect
when the caller asked for the `qtype` and/or the `qclass` to be extracted.
The `pos + labellen + 2 > end` check was wrong because `pos` might have already
been incremented by `labellen`. There are 3 ways to exit the main loop:

* `labellen` is 0, the most common case, and in that case the check is valid
* `pos >= end`, meaning that `pos + labellen + 2 > end` will be true regardless
of the value of `labellen` since it cannot be negative
* if `uncompress` is set and a compressed label is found, the main loop is
broken out of, and `labellen` still holds a now irrelevant, possibly non-zero value
corresponding to the first byte of the compressed label length & ~0xc0.

In that last case, if the compressed label points to a position > 255 the check
is wrong and might have rejected a valid packet.
A quick look throught the code didn't show any place where we request decompression
and ask for `qtype` and/or `qclass` in a response, but I might have missed one.

Reported by Houssam El Hajoui (thanks!).

(cherry picked from commit 7b9c052c617d02e1870195d0f216732047d56e22)

Merge pull request #4737 from Habbie/auth-4.0.x-travis-only-auth

do not build/test recursor, dnsdist, docs

Merge pull request #4728 from Habbie/auth-4.0.x-travis-update

MySQL 5.6 is now installed by default in travis images

do not build/test recursor, dnsdist, docs

MySQL 5.6 is now installed by default in travis images

See https://github.com/travis-ci/travis-ci/issues/6961

Merge pull request #4682 from Habbie/odbc-40x

backport odbc unbreaking

build and test godbc backend in travis

actually prepare statements

throw actual exceptions instead of strings so that they get caught and reported properly

update odbc-sqlite3 queries in regression tests

Merge pull request #4651 from rgacogne/auth-40-backport-4573

Backport #4573: Fix building with ECDSA support disabled in libcrypto

Merge pull request #4666 from ton31337/Fix/do_not_thrown_an_error

Do not thrown an error for get() if zone was not found (auth-4.0.x)

Do not thrown an error for get() if zone was not found

Fix building with ECDSA support disabled in libcrypto

(cherry picked from commit aa74d164ae29269168d048d2cc8d7e1f984774c4)

Merge pull request #4592 from rgacogne/auth40-web-rings-leak

Backport #4550: auth: Fix a possible memory leak in the webserver

Merge pull request #4600 from rgacogne/backport-4537

Backport #4537: Replace std::forward/std::make_tuple combo with std::forward_as_tuple

Merge pull request #4614 from pieterlexis/backport-4608

Backport #4608: Make MyDNS backend rpm

Make MyDNS backend rpm

Replace std::forward/std::make_tuple combo with std::forward_as_tuple

Quick and dirty fix for #3552. May not work or break compatibility
with other compilers.

(cherry picked from commit 352bc0409454032acc5e8fb256d5ed8f46445b5a)

auth: Fix a possible memory leak in the webserver

Also state clearly that we advise against running the webserver
without password protection.

Reported by mongo (thanks!).

(cherry picked from commit bea69e320e7f3ec4b9e607f6492a58f01b4fe9bf)

Merge pull request #4558 from mind04/auth-4.0.x

Auth 4.0.x backports

Merge pull request #4586 from rgacogne/backport-4544

Backport #4544: auth: Fix a stack-based off-by-one write in the HTTP remote backend

auth: Fix a stack-based off-by-one write in the HTTP remote backend

Reported by mongo (thanks!).

(cherry picked from commit 9e5fa399eea5152a451753f1db68dec46537447c)

Merge pull request #4523 from zeha/backport-4459

Backport #4459: plugs memory leak in postgresql backend

Merge pull request #4543 from zeha/api-search-no-ents-40x

Backport of #4542: API: search should not return ENTs

API: search should not return ENTs

This should also fix #4534, when backported.

fix a few 'types may not be defined in a for-range-declaration' warnings

add gcc 6.2 to boost.m4

eleksir noted that we leak a ton of memory in postgresql. I'm no postgres expert, but this plugs my leak and still appears to function. In other news, do we need a transaction for every query?

(cherry-picked from master 903bb4924bc5130c0e81f0c5759d0177f53e82fd)

disable negative getSOA caching if the negcache_ttl is 0

fix up packetcache not to use constexpr which upset clang (perhaps it is right)

document cache cleaning rate adjustment, plus switch to symbolic names for limits

adaptive packetcache cleaning interval

remove some outdated comments in packetcache.cc

remove unnecessary locking in packetcache

update packetcache size in insert()

Merge pull request #4452 from pieterlexis/backport-4319

Backport #4319: pipe: SERVFAIL when needed:

Merge pull request #4453 from pieterlexis/backport-4442

Backport #4442: geoipbackend: Fix minor naming issue

Merge pull request #4451 from pieterlexis/backport-4407

Backport #4407: Fix warning: types may not be defined in a for-range-declaration

Merge pull request #4454 from pieterlexis/backport-4371

pdnsutil: create-slave-zone accept multiple masters

pdnsutil: create-slave-zone accept multiple masters

(cherry picked from commit af3a3769097ed43b8a1ebc623a6697f668f9f4c5)

geoipbackend: Fix minor naming issue

(cherry picked from commit d0f81f040c6ef6dfc6d84471c084a1a86ce18e4e)

Fix warning: types may not be defined in a for-range-declaration

As emitted by gcc 6.2.0 20160830 (Debian 6.2.0-2)

(cherry picked from commit 8ce9e4e67dbe8ce2cf546f5f549c3fb638946c56)

pipe: SERVFAIL when needed:

 * SERVFAIL, but don't restart the coprocess if we get a FAIL.
 * SERVFAIL if the coprocess sends something we don't understand.
   * In this case, restart the coprocess.

Closes #4308

(cherry picked from commit 6e0daabf5d93bd240c4c3a5ba5afcb843686f3b8)

Merge pull request #4410 from pieterlexis/auth-4.0-autoconf-modules-no

Backport #4405: allow --without-modules

Merge pull request #4421 from pieterlexis/auth-backport-4403

Backport #4403: (auth) Fix build with OpenSSL 1.1.0 final

Merge pull request #4423 from pieterlexis/backport-4306

Backport #4306: limit size of mysql cell to 128 kilobytes

limit size of mysql cell to 128 kilobytes

(cherry picked from commit 9acd983b8de33c3d2d70a8cb0c9e3bdc2adca7a9)

Bump version requirement for CRYPTO_ctr128_encrypt

While CRYPTO_ctr128_encrypt should be available in 1.0.1,
apparently in some library builds (Ubuntu) one can not link
against it.

(cherry picked from commit 3e4b01664660f1a8d9564508843a7e51b8f7549e)

Fix build with OpenSSL 1.1.0 final

Where aes.h apparently no longer includes opensslv.h.

(cherry picked from commit e6fc073faf3b1d9b4da301821da40dff33186057)

Auth: allow --with-(dyn-)modules=no

Fixes #4399

Auth: remove unused AC_DEFINE

auth: remove autoconf leftover from before the split

Merge pull request #4393 from rgacogne/dnsdist-110-beta-changelog

dnsdist: Update ChangeLog for 1.1.0-beta1

dnsdist: Update ChangeLog for 1.1.0-beta1

Merge pull request #4346 from mind04/anytotcp

change default for any-to-tcp to yes

Merge pull request #4305 from rgacogne/dnsdist-lua-anon

dnsdist: Add an optional Lua callback for altering a Protobuf message

Merge pull request #4350 from rgacogne/rec-tcp-gettag

rec: Call `gettag()` for TCP queries

Merge pull request #4380 from rgacogne/dnsdist-clang-ebpf

dnsdist: Fix compilation with clang when eBPF support is enabled

Merge pull request #4387 from pieterlexis/port-overflow

ComboAddress: don't allow invalid ports

Merge pull request #4379 from sspans/patch-1

Update notrack rules

ComboAddress: don't allow invalid ports

Add tests for this.

Fixes: #4382

dnsdist: Fix warnings when compiling with clang

remove hash signs

As requested by @ahupowerdns, to make copy-pasting easier.

Update notrack rules

* switch from NOTRACK to CT target (deprecated around 2012)
* add output accept for sport 53
* describe firewalld configuration for newer centos/fedora/redhat versions

```
Date: Thu, 20 Dec 2012 12:26:22 +0100
Subject: [PATCH] netfilter: xt_CT: recover NOTRACK target support

Florian Westphal reported that the removal of the NOTRACK target
(9655050 netfilter: remove xt_NOTRACK) is breaking some existing
setups.

That removal was scheduled for removal since long time ago as
described in Documentation/feature-removal-schedule.txt
```

https://patchwork.ozlabs.org/patch/207653/

dnsdist: Fix compilation with clang when eBPF is enabled

Merge pull request #4359 from pieterlexis/doc-fixes

Several documentation fixes

Merge pull request #4368 from rgacogne/rec-more-lua-bindings

rec: Fix doc for ComboAddress/Netmask Lua bindings, add missing ones

Merge pull request #4376 from rgacogne/rec-uninit-policy

rec: fix the use of an uninitialized filtering policy

Document config-dir in the manpage better

Closes #4372

rec: document edns-subnet-whitelist

Closes #4275