doc/rules/index: keep rule types doc near the end

As this chapter is more meta than about rule keywords, keep it by the
end of the index, to have some semantic separation from the other
sections.

userguide: document how suricata processes rules

Added a page that explains how rules are prioritized by Suri, as well
as what main different types of inspection happen and what elements are
involved when ordering rules.

Task #5449

unix-socket: address scan-build warning

  CC       unix-manager.o
unix-manager.c:258:13: warning: Use of memory after it is freed [unix.Malloc]
  258 |         if (item->fd == fd) {
      |             ^~~~~~~~
1 warning generated.

unix-socket: fix memory leak on client disconnect

If a client loses the connection during a reload it initiated there is
a small memory leak.

Bug: #7891.

ci: check json schema sets always additionalProperties

Even if it is set to true.
Avoids forgetting adding fields and thinking it is tested

doc: complete json schema with integer keywords

doc: enforce more the completenes of json schema

see jq 'paths( objects | (.type == "object" and (has("additionalProperties") | not) )) | join(".")' etc/schema.json

fix and complete bittorrent on the way

doc/ldap: complete json schema

doc: add doc on internals of inspection of raw data

Explain briefly the internals of inspection of raw data in the following order:
- Stream Engine
- Stream reassembly
- Role of Detection Engine and Applayer Parsers
- High level communication between Stream and Detection Engine
- Relevant suricata.yaml settings

alongwith some diagrams.

Ticket 4351

doc: make firewall table names consistent

doc: add more info to firewall design

Add information about:
- available tables, default policies and rule ordering
- Packet layer and applayer tables and hooks
- engine analysis output
- commandline options available
- how to load firewall rules

Also, reorganize sections and content to assist the definitions.

detect: remove redundant fw rule path log

stream: workaround scan-build warnings

stream-tcp.c:1938:16: warning: Access to field 'next' results in a dereference of a null pointer (loaded from variable 'tail') [core.NullDereference]
 1938 |     tail->next = old_head;
      |     ~~~~       ^
1 warning generated.

stream-tcp.c:1982:5: warning: Potential leak of memory pointed to by 'q' [unix.Malloc]
 1982 |     ssn->queue_len++;
      |     ^~~
1 warning generated.

stream: add more liberal timestamp behavior in 3WHS

RFC 7323 forbids a server to respond with a timestamp option in the
SYN/ACK when the SYN didn't have a timestamp option:

   A TCP MAY send the TSopt in an initial <SYN> segment (i.e., segment
   containing a SYN bit and no ACK bit), and MAY send a TSopt in
   <SYN,ACK> only if it received a TSopt in the initial <SYN> segment
   for the connection.

   Once TSopt has been successfully negotiated, that is both <SYN> and
   <SYN,ACK> contain TSopt, the TSopt MUST be sent in every non-<RST>
   segment for the duration of the connection, and SHOULD be sent in an
   <RST> segment (see Section 5.2 for details).

However, in the real world this pattern happens on benign traffic. This
would lead to missing logs and detection, and in IPS mode such sessions
would be blocked.

This patch allows this pattern when the `stream.liberal-timestamps` is
enabled (enabled by default).

Bug #4702.

stream: improve SYN and SYN/ACK retransmission handling

Take SEQ and ACK into account for more scenarios.

SYN on SYN_SENT

In this case the SYN packets with different SEQ and other properties are
queued up. Each packet updates the ssn to reflect the last packet to
come in. The old ssn data is added to a TcpStateQueue entry in
TcpSession::queue. If the max queue length is exceeded, the oldest entry
is evicted. The queue is actually a single linked list, where the list
head reflects the oldest entry.

SYN/ACK on SYN_SENT

In this case the first check is if the SYN/ACK matches the session. If
it doesn't, the queue is checked to see if there SYN's stored. If one is
found that matches, it is used and the session is updated to reflect
that.

SYN/ACK on SYN_RECV

SYN/ACK resent on the SYN_RECV state. In this case the ssn is updated
from the current packet. The old settings are stored in a TcpStateQueue
entry in the TcpSession::queue.

ACK on SYN_RECV

Checks any stored SYN/ACKs before checking the session. If a queued
SYN/ACK was sound, the session is updated to match it.

Ticket: #3844.
Ticket: #7657.

stream: avoid ineffective state bump in TFO

Do not set session state to established, as it is unconditionally
overwritten to syn_recv afterwards.

stream: minor improvement to timestamp debug messages

Add pcap_cnt for easier debugging.

ci: do not run undefined for clusterfuzzlite

as it takes too long to build

ci: log data at various clusterfuzzlite steps

to investigate slowness of build

ci: clusterfuzzlite does not need to clone libhtp

as suricata is using libhtp-rs now

ci: remove unnecessary packages from clusterfuzzlite

as they were only used on oss-fuzz to build the corpus, and here
we reuse oss-fuzz public corpus

doc/fileinfo: Document fileinfo context/usage

Issue: 6498

doc: Add upgrade note for ppp changes

decode/pppoe: CDPCP as a known protocol

Cisco Discovery Protocol Control Protocol may be sent over pppoe.
We should allow it to help network functions.

decode/pppoe: Don't mark expected PPP protos as unsupported

After upgrading from 7.0.6 to 7.0.8, regular ppp packets are getting
dropped when ppp rules in decoder-events.rules were set as drop.
This was caused by commit a8f35806 ("detect: fix decoder only events").
Previously these rules would not be alerted or dropped.

It turns out several PPP protocols in a switch statement were falling
into the PPP_UNSUP_PROTO case. This has always been the case, I assume
the intention was that they don't get further inspected for size and
other decode errors hence unsupported.
But really some of the protocols are fundamentally required for a PPP
connection to take place.

Change some types that we know should be allowed to pass this.

Ticket: 7651

decode/pppoe: Run clang-format

These files have existing problems which prevent patches from
passing the format check on them.

github-ci: pass CARGO and RUSTC to S-V

S-V needs cargo to build the EVE validator.

rust: respect RUSTC and CARGO env vars like CC

To support alternative cargo and rustc programs (such as cargo-1.82),
respect CARGO and RUSTC environment variables during ./configure much
like CC.

RUSTFMT is also respected as that is required for the tests, and Cargo
can't figure this out like it can for rustc (perhaps a bug in the
packaging).

For cbindgen, we have also have to make sure the cargo environment
variable is set for each invocation.

To build with Ubuntu's Rust 1.82 packaging:

  CARGO=cargo-1.82 RUSTC=rustc-1.82 RUSTDOC=rustdoc-1.82 \
      ./configure

Note that setting RUSTDOC is only required for commands like "make
check" to pass.

Ticket: #7877

rust: bindgen requires rustfmt

Bindgen will use rustfmt after generating the bindings, but this will
fail if rustfmt is not installed. Only run bindgen if rustfmt is
installed.

detect/tls: tls.cert_subject is not a multi-buffer

Ticket: 7867

doc: complete list of multi-buffers

Ticket: 7867

rust: update tracing-subscriber

Address https://rustsec.org/advisories/RUSTSEC-2025-0055.

rust: pin time crate to 0.3.41

0.3.42 introduces dependencies that require Rust 1.81.

github-actions: bump actions/download-artifact from 4.3.0 to 5.0.0

Bumps [actions/download-artifact](https://github.com/actions/download-artifact) from 4.3.0 to 5.0.0.
- [Release notes](https://github.com/actions/download-artifact/releases)
- [Commits](https://github.com/actions/download-artifact/compare/d3f86a106a0bac45b974a628896c90dbdf5c8093...634f93cb2916e3fdff6788551b99b062d0335ce0)

---
updated-dependencies:
- dependency-name: actions/download-artifact
  dependency-version: 5.0.0
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>

github-actions: bump codecov/codecov-action from 5.4.3 to 5.5.0

Bumps [codecov/codecov-action](https://github.com/codecov/codecov-action) from 5.4.3 to 5.5.0.
- [Release notes](https://github.com/codecov/codecov-action/releases)
- [Changelog](https://github.com/codecov/codecov-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/codecov/codecov-action/compare/18283e04ce6e62d37312384ff67231eb8fd56d24...fdcc8476540edceab3de004e990f80d881c6cc00)

---
updated-dependencies:
- dependency-name: codecov/codecov-action
  dependency-version: 5.5.0
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

github-actions: bump actions/checkout from 4 to 5

Bumps [actions/checkout](https://github.com/actions/checkout) from 4 to 5.
- [Release notes](https://github.com/actions/checkout/releases)
- [Commits](https://github.com/actions/checkout/compare/v4...v5)

---
updated-dependencies:
- dependency-name: actions/checkout
  dependency-version: '5'
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>

github-actions: bump github/codeql-action from 3.29.5 to 3.30.0

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.29.5 to 3.30.0.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Commits](https://github.com/github/codeql-action/compare/v3.29.5...v3.30.0)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-version: 3.30.0
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

schema: document stats.detect counters

... that were missing.

Task #7795

htp: use transactions right get function

Not the VecDeque one

Ticket: 7803

detect/dsize: define offset in edge case

Ticket: 7802

output/alert-debug: do not return on app-layer

just continue, so that we call aft->file_ctx->Write

Ticket: 4178

doc/devguide: section with conceptualized steps for adding app-layer

Ticket: 6840

schema/description: capitalize initial letters

For existing descriptions that weren't like that, yet.

schema: add descriptions for flow stats counters

Task #7794

doc/lualib: fix wrong tuple section markdown in flowlib

Sections had wrong levels due to wrong markdown.

doc/lualib: fix flow timestamps return value order

Task #7854

stream: remove incorrect defensive check

As a part of the commit d096b98 a defensive check was added stating that
the stream must have EOF flag set if it is in TCP_CLOSING state or
above. However, this led to a false positive reported by oss-fuzz whose
analysis showed that this does not hold true for TCP_CLOSING state. It
does hold true only for TCP_CLOSED or if packet has PKT_PSEUDO_STREAM_END
set.
TCP_CLOSING state correspond to an established flow hence the correct
course of action is to remove the assertion.

Bug 7636

Co-authored-by: Philippe Antoine <pantoine@oisf.net>

detect/integers: support kibibyte unit

Ticket: 7869

detect/integers: document usage of units

Ticket: 7190

detect/integer: support missing modes for u8 prefilter

Ticket: 7865

<=, >=, and != were missing

Also warns if an unimplemented mode is tried

http: generate no anomaly for identity encoding

Ticket: 7843

docs: fix deprecated inclusion of rtd theme path

Since userguide/conf.py uses the deprecated get_html_theme_path(),
sphinx emits a warning which breaks the build as warnings are treated
as errors.

Issue: 7859

util: Fix a hash table collision bug

In util-hash.c there was some behavior that is unexpected and likely
incorrect. To see this behavior, create a hash table 32 entries wide
and use the default hash function. Then add a short string “abc”,
observe the string is stored properly. Now remove a string “iln”, and
observe string “abc” is no longer in the table.

This is because the hash function is not properly handling collisions in
some edge cases.

Includes new unit test:

- UT verifies that the hash function generates a collision for
  the selected test data. This must be true for the bug to be present.
  Then UT demonstrates the bug by adding two items to the hash table
  that collide, and then removing one of them 2x. The bug is that the
  other value is removed as well.

Bug #7828 --> https://redmine.openinfosecfoundation.org/issues/7828

Signed-off-by: Charlie Vigue <charlie.vigue@openvpn.com>

detect-file-hash: drop redundant rule_file NULL check

de_ctx->rule_file is never NULL inside DetectFileHashParse(); add a comment
stating this fact and remove the superfluous NULL guard.

No functional change – the patch only clarifies the code and trims a few
lines of dead code.

Bug 7769

schema/decoder: add descriptions for stats counters

Task #7793

schema/arp: fix invalid pkt event output

Task #7857

dpdk: fix parsing of DPDK EAL argument options

Fix parsing of DPDK EAL argument options taken from suricata.yaml.

Ticket: 7856

doc/exceptions: fix wrong section markdown

Sections had wrong levels due to wrong markdown.

doc/from_base64: Emphasize keyword only values

Emphasize that specifying the keyword only will result in the defaults
for each option to be used.

Issue: 7853

detect/from_base64: Support keyword w/no opts

Issue: 7853

Support the use of `from_base64` with no optional values. In this case,
the default values for:
- mode RFC4648
- offset: 0
- bytes: buffer size
will be used.

misc: fix typos

Fix typos in src/detect-engine.c

Issue: 7819

detect/mt: Prevent deadlock when adding tenants

This commit modifies the call path for registering MT tenants to avoid
deadlocks on the master->lock

When performing tenant operations, e.g., using suricatasc to send a
register-tenant command, a deadlock occurs when

- DetectEngineMTApply: acquires master->lock
- Calls DetectEngineReloadThreads
- Within DetectEngineReloadThreads, calls DetectEngineMultiTenantEnabled
- Which first acquires master->lock

Commit 2bea5af introduced changes to the master->lock usage leading to
the deadlock situation.

Issue: 7819

github-ci: add Debian 13 job with xdp and vectorscan

misc: add rust analyzer and sphinx to shell.nix

This allows to have the LSP server present and permits to build the
documentation.

rust: fix mismatched_lifetime_syntaxes warning

Fix new warning present in Rust 1.89.

warning: hiding a lifetime that's elided elsewhere is confusing
   --> src/ldap/types.rs:191:30
    = help: the same lifetime is referred to in inconsistent ways, making the signature confusing
    = note: `#[warn(mismatched_lifetime_syntaxes)]` on by default
help: use `'_` for type paths

detect/port: add BUG_ON on impossible condition

to assist Coverity in assessing the state of x correctly.

detect/port: clean up already initialized vars

engine/analyzer: write rule failure report to correct file

The failure report was always just written to rules_fast_pattern.txt. In
case that setting is disabled or there's nothing fast-pattern related,
the report should be written to the usual rules_analysis.txt.

Bug 7821

engine/analyzer: check if file pointer exists before writing

de_ctx->ea->fp_engine_analysis_fp is only initialized if
engine-analysis.rules-fast-pattern is enabled in the configuration. If
this config param is missing, this leads to segfault.

Bug 7822

detect/engine: simplify stats counters registration

detect: remove unused non-pf stats counters

Remove unused rule prefilter-related stats counters that aren't in use.

94644ac9604c (detect: move non-pf rules into special prefilter engines)
removed the logic that made use of and incremented the stats counters:
- det_ctx->counter_fnonmpm_list
- det_ctx->counter_nonmpm_list

Some code was left, registering them, and mentioning them in the
json schema.

Ticket #7834

github-actions: bump github/codeql-action from 3.29.2 to 3.29.5

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.29.2 to 3.29.5.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Commits](https://github.com/github/codeql-action/compare/v3.29.2...v3.29.5)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-version: 3.29.5
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

file: remove unused flag

FLOWFILE_NO_SIZE_* are unused, whose removal shows that
SIG_GROUP_HEAD_HAVEFILESIZE gets unused, whose removal shows that
SignatureIsFilesizeInspecting gets unused

doc/dpdK: update RX/TX descriptor note for Connect-X 4

Ticket: 7639

app-layer: fix ippair memcap counters

Fixed counter for ippair.memcap by using the correct function,
IPPairGetMemcap.
Until now IPPairGetMemuse was used both for memuse and memcap.

Ticket: 7827

lua: document the dnp3 lib

Ticket: #7631

doc/upgrade: mention that lua rules are enabled by default

doc/lua-detection: fix example script; remove most buffers

- Reference rule hooks instead

Ticket: #7728

doc/lua-output: fix example script for new apis

Ticket: #7728

doc/lua-functions: update lua-function documentation

- cleanup usage and documentation around needs
- mentiond that rule hooks are used instead of "needs" keywords with
  link with rule hooks (which is still in the firewall-design doc)

doc/install: remove reference to --enable-lua

This configure command no longer exists.

doc/lua-detection: update note to mention rules are enabled by default

In 8.0, Lua rules are enabled by default.

github-ci: finish removing cppclean

Completes commit 2d308c000d58dbf5323599fc7f1694e14f1f375b.

github-ci: add almalinux 10 build

Based on the current AlmaLinux 9 build, with plugin tests, etc.
Remove cppclean as its not installed and was previously disabled with
commit 2d308c000d58dbf5323599fc7f1694e14f1f375b.

hyperscan: prevent LTO opmitizing out hash calculation

Since cached_hash was updated through reference (hash), it seems
LTO did not notice this and optimized the whole code block, returning
zero.
This in turn caused all caches to have the same name and to overwrite.
On subsequent runs, only the last cache was loaded for all SGHs
causing wrong MPM assignment.

Ticket: 7824

github-ci: add flto build

Ubuntu and Fedora packing system build with -flto=auto by default, so
update one test to use -flto=auto. Also build with -O2 as that
combination can cause issues such as
https://redmine.openinfosecfoundation.org/issues/7824.

Also adds vectorscan to the build.

lua/bytevarlib: return luaL_error to suppress warning

Even though luaL_error never returns, use a return to make it
clear. Also prevents a compiler warning about idx being used
uninitialized.

detect-engine-address: initialize pointer in unit tests

To prevent the compiler warning about "c" being used uninitialized
with LTO.

util-byte: fix usage of util-byte integer parsers

Functions like ByteExtractStringUint8 return 0 or less on
failure. Many usages of this function treat 0 as successful as its our
common pattern.

Ticket: #7836

doc/lua: fix typo in stream toserver and toclient

http2: do not log empty objects for request or response

Ticket: 7741

output: fix NULL deref if no app-layer is logged

Ticket: 7815

output: fix condition for community id with same ip

Ticket: 5689

counters: hard fail on allocation failure during init

Ticket: 7813

conf/output: friendly error message on bad configuration

Ticket: 7611

Instead of segfault

output.types expects a sequence of one-key mappings, instead
of directly a mapping

doc/suricatasc: Mentioned get-flow-stats-by-id cmd

Add get-flow-stats-by-id to the list of commands supported by suricatasc

Issue: 7081

build: include first rust/gen

Ticket: 7804

Allows especially to prefer our lua (rust crate) includes over
the system one

doh: do not log dns events when there is no DNS

Ticket: 7740

When we have a pure HTTP2 transaction (such as settings), we want
to log a http event

snmp: fix the possibility to disable the parser

Ticket: 7820

Do not register anything, not even ALPROTO_SNMP "snmp" string
if parser is disabled

ci: use debian 12 for xdp

As bullseye is EOL so it is being removed from the mirrors

https://lists.debian.org/debian-backports/2024/07/msg00003.html

[Edit by JI: Add xdp to distcheck build as well.]