tls/sni: parsing cleanup

Set proper event on all invalid sni length values.

ssl: improve error checking

ssl: unify main parsing routine

ssl: improve debug output

ssl: record parsing cleanup

ssl: handshake parsing code cleanup

ssl: copy data using a safe memcpy wrapper

To avoid future memcpy issues introduce a wrapper and check the
result of it.

When compiled with --enable-debug-validation the wrapper will abort if
the input is wrong.

ssl: don't say we consumed bytes if we didn't consume them

ssl: code cleanups

ssl: bump copyright year

ssl: improve 'first cert' check to avoid leaks

In some error conditions, or potentially in case of multiple 'certificate'
records, the extracted subject, issuerdn and serial could be overwritten
without freeing the original memory.

ssl: fix handshake cert buffer sizing

'trec' buffer was not grown properly when it was checked as too small.
After this it wasn't checked again so that copying into the buffer could
overflow it.

detect/keywords: dynamic version part of doc URL

logging: fix default log format for release mode

datasets: reputation value validation

detect: refactoring parsing of ip range

To optimize first netmask

signature: minimizes ip CIDR for ip range

Example leading to over allocation is 41.232.107.2-43.252.37.6

decode/erspan: Warn on ERSPAN Type I config

This commit checks whether pre-6.x settings for ERSPAN Type I are
present. ERSPAN Type I is no longer enabled/disabled through a
configuration setting -- it's always enabled.

When a setting exists to enable/disable ERSPAN Type I decoding, a
warning message is logged.

Enabling/disabling ERSPAN Type I decode has been deprecated in 6.x

decode/erspan: Add warning ERSPAN Type I config

This commit adds a warning value when ERSPAN Type I configuration
settings are detected; specifically, when ERSPAN Type I `enabled` is
specified.

Enabling/disabling ERSPAN Type I decode has been deprecated in 6.x

doc: typo: http.server_body should be http.response_body

Thanks to Jason Williams for pointing this out.

flowbits: fix hang in flowbits 'or' parsing

fuzz: suppress too noisy htp errors check

napatech: Correct timestamp rounding issue

This commit fixes the conversion of timestamps. Without the extra
parens, the resulting timestamp value for usecs will be 1 or 0 due to
the operator precedence order (+ takes precedence over ?:)

napatech: Check for out-of-band control operations

This commit causes the packet source to check for out of band control
operations when there are no packets immediately available.

dag: Check for out-of-band control operations

This commit causes the packet source to check for out of band control
operations when there are no packets immediately available.

napatech: Restructure Packet/Hostbuffer release

The end-of-processing has been restructured so that Packet and Hostbuffer
data structures are now released within the NapatechReleasePacket() callback
function.

af-packet: change type of cluster_id to uint16_t

src: remove multiple uses of atoi

atoi() and related functions lack a mechanism for reporting errors for
invalid values. Replace them with calls to the appropriate
ByteExtractString* functions.

Partially closes redmine ticket #3053.

Add wrappers for validating range checks

fastlog: copyright year bump and remove stale comments

fastlog: fix unlikely memleak

Fix memleak is case of alloc error during startup.

thash: suppress coverity fp's

datasets: suppress coverity fp's

rfb: Update incomplete handling in parser.

This commit adds an updated incomplete handling for the RFB-Parser. If
incomplete data is processed, the successfully consumed position and
length of remainder + 1 is returned. If the next packet is not empty
suricata will call the parser again.

This commit is a result of discussion on https://github.com/OISF/suricata/pull/4792.

github-ci: check all commits on pr

On a pull request, attempt to compile all commits from
the base branch to the head of the PR branch.

The job is in a separate workflow file to limit it to
pull-requests only, as the base branch is not available
on push (something to look into).

http: adds debug check against too many warnings

detect/ftp: FTP memory accounting fixes

This commit continues the work started by @vanlink and corrects the
accounting of FTP memory usage against the memcap limit.

app-layer: fix protocol detection bail conditions for TCP fastopen

detect/lua: Unregister object during free

This commit removes the registration for the object being freed.

detect: Provide `de_ctx` to free functions

This commit makes sure that the `DetectEngineCtx *` is available
to each detector's "free" function.

detect: Provide function to clear per-thread ctx

This commit provides an interface to free previously allocated
per-thread contextual information on the keyword lists.

flowbits: Allow support for flowbit ORing

This patch allows to OR multiple flowbits on isset and isnotset flowbit
actions.

e.g.
Earlier in order to check if either fb1 or fb2 was set, it was required
to write two rules,
```
alert ip any any -> any any (msg:\"Flowbit fb1 isset\"; flowbits:isset,fb1; sid:1;)
alert ip any any -> any any (msg:\"Flowbit fb2 isset\"; flowbits:isset,fb2; sid:2;)
```

now, the same can be achieved with
```
alert ip any any -> any any (msg:\"Flowbit fb2 isset\"; flowbits:isset,fb1|fb2; sid:23;)
```

This operator can be used to check if one of the many flowbits is set
and also if one of the many flowbits is not set.

doc/perf: minor improvements

doc: add performance analysis section

ftp: use switch for ftp commands for style

ftp: FTPGetAlstateProgress for done port commands

For a done transaction with command PORT,
we expect FTP_STATE_FINISHED
and we got FTP_STATE_PORT_DONE instead
which prevented logging of these transactions

We change the order of the evaluations to get the right result

ftp: indent FTPParseResponse again

ftp: FTPParseResponse bufferizes lines

Protects against evasion by TCP packet splitting

The problem arised if the FTP response is split on multiple packets

The fix is to bufferize the content, until we get a complete line

detect: fix insertion in linked list for fast pattern

Make sure we do not add the same list_id twice
by checking at least all the lists with the current priority

conf/datadir: fix possible out of bounds array access

datasets: remove useless variables

datasets: add 'dataset-remove' unix command

datasets: add 'remove' support

thash: add 'remove' support

datasets: improve 'dataset-add' error checking

datasets: fix return values for 'add's

datasets: fix ref cnt handling

Each 'add' and 'lookup' would increment the use_cnt, without anything
bringing it back down.

Since there is no removal yet, nothing is actually affected by it yet.

datasets: silence noisy 'dataset-add' log

build: default to c11 standard

Rearrange pcap includes to fix builds on MinGW

build: don't limit C std to c99 (gnu99)

Now that C11 atomics and thread local storage are supported, the
compiler can figure out what version to use.

configure: check for u_int and friends

fuzz: include pcap headers through suricata-common.h

threads: remove u_long usage

threads: make thread local storage manadatory

Support either the __thread GNUism or the C11 _Thread_local.

Use 'thread_local' to point to the one that is used. Convert existing
__thread user to 'thread_local'.

Remove non-thread-local code from the packet pool code.

atomics: stdatomics.h version of SC_ATOMIC_* wrappers

detect-engine/tags: avoid confusion over data type

atomics: remove unused macros

atomics: add SC_ATOMIC_INITPTR macro

Until now both atomic ints and pointers were initialized by SC_ATOMIC_INIT
by setting them to 0. However, C11's atomic pointer type cannot be
initialized this way w/o causing compiler warnings.

As a preparation to supporting C11's atomics, this patch introduces a
new macro to initialize atomic pointers and updates the relevant callers
to use it.

atomics: change SC_ATOMIC_ADD to 'fetch_add'

Until this point the SC_ATOMIC_ADD macro pointed to a 'add_fetch'
intrinsic. This patch changes it to a 'fetch_add'.

There are 2 reasons for this:

1. C11 stdatomics.h has only 'atomic_fetch_add' and no 'add_fetch'
   So this patch prepares for adding support for C11 atomics.

2. It was not consistent with SC_ATOMIC_SUB, which did use 'fetch_sub'
   and not 'sub_fetch'.

Most callers are not using the return value, so these are unaffected.
The callers that do use the return value are updated.

atomics: avoid unnecessary (direct) CAS use

atomics: remove useless SC_ATOMIC_DESTROY

atomics: remove spinlocked fallback

fuzz: fix applayer eof check segv

fuzz: stop app layer target as Suricata

Before being overwhelmed by successive errors

conf: returns instead of exiting in ConfYamlParse

So that we can keep on fuzzing even on too much recursion

fuzz: add missing debug validation to configure

fuzz: add configure wrapper for oss-fuzz

includes: don't include sys/types.h twice

privs: include headers in suricata-common.h

conf/yaml: include yaml.h after suricata-common.h

doc/install: refer to buster as Debian stable

fuzz/sigpcap: enable all of eve

detect/iponly: fix parsing of '0' valued netmask

util/mem: reduce scope of win32 specific include

util/mem: cleanup by moving atomic from mem hdr

util/mem: move most logic to functions

Reduce macro use and simplify code. Also reduces compiled code
size.

util/mem: remove old debug code for counting allocs

logging: turn SCLog and SCLogErr into funcs

Reduces compiled code size.

common: add ATTR_FMT_PRINTF wrapper

Wraps around __attribute__((format(printf, (x), (y))))

common: use suricata-common.h in more places

common: use WARN_UNUSED macro

detect/mpm: don't process empty store

dns/tests: comment typo fixes

decode: return bool network layer

So that the caller can set the correct event type on error.

decode/hdlc: initial support

decode: single network layer entrypoint

This way new layers can be added in a single place.

decode: create linklayer entry point

Make AF_PACKET and PCAP mode use it.

decode/ieee8021ah: fix possible packet truncation

fuzz/siginit: cleanup detect engine every 1024 runs

app-layer-template: fix log typo