output: use BASE64_BUFFER_SIZE macro

Base64Encode function requires the maximum length of the output string
as its last parameter. Use the macro BASE64_BUFFER_SIZE to calculate it
correctly.

datasets/string: fix buffer overflow

The size of encoded_data array and the maximum output length parameter
to Base64Encode function were incorrect leading to buffer overflow for
certain cases. The algorithm requires at least 5 bytes of space to even
convert a string of length 1.

Use BASE64_BUFFER_SIZE macro to correctly calculate this output length.
Set size of encoded_data array to the calculated output length.

util/crypt: Add macro for max base64encode len

Maximum length of a base64 encoded string can be 33% over the actual
length of the input string. The formula to best cover all the edge cases
is mathematically
(4 * (input_length + 2) / 3) + 1

Add a macro to calculate this for a given input length.

ftp: optimize FTPGetOldestTx by starting from last handled tx

Avoids DOS by quadratic complexity algorithm.
Attack is
1 stack many requests/transactions (like cwd commands on a line)
2 get many answers

http2: files inspection API fixes

uses right transaction id for file tracker
uses FILE_USE_DETECT for good matches with keyword startswith

http2: allow multiple size updates in one headers batch

cf RFC 7541 section 4.2

http2: avoid null pointer deref in alert output

Bug #4120.

http2: allow filestore to work with HTTP2

packet: set length of 0 for too big copy

ssl: improves keyword ssl_version parsing

Removes the use of PCRE for performance
Forbids empty negations after a valid pattern
Forbids mixing negative and positive forms as it is irrelevant
Forbids useless repetition of a version

smb: do not rely on one valid NBSS byte for probing

Need to have the SMB header so as to validate

ssl: upgarde to uint32 for bytes_processed

as it can overflow, and is compared with uint32 such as
message_length and message_start and

detect: null sanity checks for pkthdr

Even when the rules are only applied on traffic with the protocol
the structure for the protocol header can be set to NULL if there
was an error parsing the header

configure: require libhtp 0.5.36

doc: explicit header normalization further

And their concatenation as described in RFC 2616

github-ci: CentOS 6 is EOL

doc: http.uri.raw has no spaces

as they are in the protocol

cf bug #2881

rust: handle windows naming change from .lib to .a

Prior to Rust 1.44, Cargo would name static libs with the .lib
extension. 1.44 changes this extension to .a when running under
a GNU environment on Windows like msys to make it more similar
to other unix environments.

Now assume static library name to be the same on Windows and
unix, but rename the .lib if found to still support older
versions of Rust on Windows.

configure/mingw: move libs in LDFLAGS to LDADD

Moving the libs specified in LDFLAGS to LDADD put them into the
correct placement on in the link command.

rust: do not rebuild stdlib when coverage is enabled

Because both seem incompatible for now

fuzz: check PacketCopyData return value before processing packet

fuzz: limit memcap for datasets when fuzzing

dnp3: better limit for tests when fuzzing

fuzz: improves detect proto target

By mimicking assert message so as to clusterfuzz differentiates
between failures

detect: fix inspection order with stateful rules

When stateful detection rules, for which detection has already started
for a previous packet, are added to the candidates array, the array
is sorted to mantain the correct inspection order. However, due to a
trivial error in the sort helper the array was sorted in descending
instead of ascending order.

dcerpc/udp: fix transaction handling and logging

Implement missing transaction handling.

Fix logging wrongly casting 'state' to DCERPCState instead of
DCERPCUDPState leading to crashes and malformed output.

Remove unused fields from DCERPCUDPState.

detect/mpm: remove usused cleanup function

detect: optimize prefilter result handling

detect/prefilter: small cleanup

github-ci: check for duplicate SIDs in rules/

rules/mqtt: renumber mqtt events to avoid conflict with ssh

Both SSH and MQTT events were in the 2228000 range. As SSH was
added first, renumber MQTT events into the 2229000 range which is
free.

rust: fix warnings found by nightly compiler

warning: getting the inner pointer of a temporary `CString`
this `CString` is deallocated at the end of the statement,
bind it to a variable to extend its lifetime

decode/null: fix type parsing

atomics: fix compilation on ppc64

dnp3: set byte order when logging dnp3 src and dst

DNP3 uses little endian on the wire, for the most part this
is handled as the messages are deserialize. However, the link
header is a cast over raw data, so swap these bytes as they
are being logged.

Redmine issue:
https://redmine.openinfosecfoundation.org/issues/4173

github-ci: windows in builds

doc/userguide: update http keywords

doc/userguide: explain --strict-rule-keywords

app-layer: do not try to parse gaps during protocol change

As this will leak the flow alstate because AppLayerParserParse
relies on FlowChangeProto to know if it should allocate a new
alstate

detect: apply transforms to http body

ci: updates github ci add-path mechanism

tools: bash from env

Use of hardcoded bash prevents users from using an upgraded bash which may
live in a different location. This behavior is often seen on OSX systems.

Utilize env to find the preferred bash to call for scripts.

rust/log: clarify comment in non-debug mode SCLogDebug

rust/log: order log macros in descending order

Readability cleanup.
- error, notice, ... debug

rust/log: expand macros after checking log level

Expand macros in the do_log macro after checking the log level
instead of each log macro (ie: SCLogDebug) expanding the macros
then passing off to do_log to have the log level check.

Will eliminate any expense of expanding macros if this log level
does not permit the given message to be logged.

Redmine issue:
https://redmine.openinfosecfoundation.org/issues/4114

dcerpc/log: Log fields particular to an RPC version

Log fields that only are meant to be in a PDU for a particular RPC
version. Since DCERPC/UDP works on RPC version 4 and DCERPC/TCP works on
RPC version 5, there are certain fields that are particular to each
version.
Remove call_id from the logger for UDP.
Add activityuuid and seqnum fields to the logger for UDP.
call_id and (activityuuid + seqnum) fields are used to uniquely pair a
request with response for RPC versions 5 and 4 respectively.

rust/dcerpc: Remove redundant fields

rust/dcerpc: Make tx_id u64

dcerpc/udp: Fix pairing of request response

So far, request and response were paired with serial number fields in
the header. This is incorrect. According to
https://pubs.opengroup.org/onlinepubs/9629399/chap12.htm,
"Together, the activity UUID and the sequence number uniquely identify
a remote procedure call."

Hence, add activity uuid and sequence number to the transaction and pair
the request accordingly. Remove incorrect handling of this and fix
tests.

rust/dcerpc: Add UDP flag definitions

app-layer: lower limit for protocol detection on protocol change

So that protocol detection does not run for too long because
TCPProtoDetectCheckBailConditions somehow relies on its TCP stream
to start from zero, which is not the case on protocol change

Adds also debug validation checks, such as
both sides are known on protocol change

And only sets once alproto_orig

doc: New sticky buffer icmpv4.hdr

detect: Register icmpv4 header

detect: Add icmpv4.hdr sticky buffer

This commit adds a new sticky buffer to access the ICMPv4 header.

detect: New enum for icmpv4 header keyword

decode: Improved handling of ICMPv4 messages

This commit improves handling of ICMPv4 messages, especially those with
variable sized headers.

This commit also adds a header length variable for use by the new
sticky buffer for the header.

github-ci: fix debian 10 test using rustup

detect: Treat offset as a signed value

This commit updates the detector to treat 'offset' as a signed value to
be compatible with Snort.

napatech: Added comment indicating that hba will be deprecated

HBA will be deprecated in Suricata 7

napatech: Add Deprecation Warning Message for HBA

Added a message that HBA will be deprecated in the future and removed
hba from default conf file.

doc: provide eve 1 deprecation date

dns: eve 1 deprecation warning

Redmine issue:
https://redmine.openinfosecfoundation.org/issues/4137

dns: fix leak in dns v1 logging

Intermediate JsonBuilder object was not being freed.

Redmine issue:
https://redmine.openinfosecfoundation.org/issues/4086

napatech: Removed restriction on use of inline mode

Removed the unnecessary restriction on the use of inline mode only when
bypass is enabled.  Now, Inline can be used independent of bypass
functionality.

napatech: Fix potential double release of packet

This addresses readmine issue #4018.  There was the potential for a packet
buffer to be released twice in response to an error condition.  This
addresses this by only calling NT_NetRxRelease() when the p->ReleasePacket
is called.

fuzz: better packet recycling in sigpcap target

need especially to set datalink for every packet

fuzz: applayer target uses yaml config

so that every app-layer protocol is enabled

ci: adds cifuzz workflow

fuzz: adds fuzzing status badge in README

eve: do not access flow storage in packet context

We must make sure not to access the flow storage (e.g. keeping a
MacSet) before making sure we have a flow to begin with, We can,
for example, run into an alert without a flow with `ip` rules,
in which case the flow might be NULL. See Redmine issue #4109.

github-ci: Improve body parsing

This commit improves handling of the PR body parsing to eliminate
unneeded characters.

detect/file-data: Improved support for share bufs

This commit improves support for shared buffer usage, i.e., when
multiple rules share the file data (http) buffer and apply different
combinations of transforms and fast_patterns (or none).

github-ci: remove deprecated set-env and add-path

Use the new methods for setting an environment variable and
updating the PATH.

mingw: fix format string warnings

github-ci: add windows build with suricata-verify

Initial attempt with a few hacks:
- npcap dlls are extracted from the installer and placed in cwd
- cbindgen is installed system wide desipte a preinstalled copy

This does not yet hook into the "prep" build from build.yaml or
support using custom support PRs/branches (SV, SU).

appveyor: remove in favor of github-ci

detect/mpm: fix id confusion in mpm_ctx sharing

Mixing of dynamic id's and hardcoded config values could possibly
lead to the settings not getting applied properly.

detect/mpm: improve transforms handling

Make sure keywords with transforms get their own mpm ctx, instead of
sharing it with the 'pure' version of the keyword.

detect/mpm: rename variable to ease code review

dcerpc/udp: add missing tx free logic

dcerpc: fix stream flag handling

Only hardcoded direction flags were passed to the parser, not the
full range.

Handle receiving an EOF flag w/o data.

Bug: #3856

dcerpc/tcp: fix compile warning

warning: variable does not need to be mutable
    --> src/dcerpc/dcerpc.rs:1036:42
     |
1036 |                     let tx = if let Some(mut tx) = self.get_tx_by_call_id(current_call_id, core::STREAM_TOCLIENT) {
     |                                          ----^^
     |                                          |
     |                                          help: remove this `mut`
     |
     = note: `#[warn(unused_mut)]` on by default

warning: variable does not need to be mutable
    --> src/dcerpc/dcerpc.rs:1061:30
     |
1061 |                         Some(mut tx) => {
     |                              ----^^
     |                              |
     |                              help: remove this `mut`

dcerpc/tcp: add missing detect state cleanup

detect/magic: fix crash on rule reloading

This changseset fixes a bug causing a segmentation fault.
When rules are reloaded and a rule using libmagic matches, suricata
crashes due to an improper reinitialization of the thread contexts.

Bug: #3726

unix-socket: fix alert metadata logging

This changeset fixes a bug that was preventing suricata to dump
alert metadata info when running in unix-socket mode.
When running in unix-socket mode, suricata was skipping the
initialization of the output modules and, as a consequence,
the metadata output module was never invoked.

alert/syslog: fix minor compile warning

stream: harden data size handling

Handle edge cases around ACKs and last_ack getting below
'app_progress', which can happen during shutdown of a flow
with multiple GAPs.

stream: bail early if no data after a gap

stream: harden data size handling

stream: don't send STREAM_START multiple times

detect/content: add more negation tests

dnp3: reword warning message

defrag: fix pthread warning on OpenBSD

configure: remove left over reference to unified2

doc/rules: document config rule option

version: start development towards 6.0.1

version: update to 6.0.0, require libhtp 0.5.35

changelog: update for 6.0.0 final

logrotate: reindent to 4 spaces

4 spaces seems to be the norm on Linux, so reindent from a mix
of 8 spaces and tabs to 4 spaces.

signature: checks protocol for file.name keyword

By setting the flags as for the filename keyword (not sticky version)