github-ci: update fedora builds to 41 and 42

github-ci: comment out macos build for now

It fails, with no clear way to fix it until someone with a Mac can
help out.

config: handle suricata config with '=' in value

For example, when an '=' appears in the --dump-config output when its
used as part of a bpf-filter.

Ticket: https://redmine.openinfosecfoundation.org/issues/7637

md5: don't rely on version for usedforsecurity

The usedforsecurity flag to hashlib.md5 doesn't appear to be version
specific, due to backporting, etc.

Instead attempt to use it, on exception, fallback to not using it.

Ticket: https://redmine.openinfosecfoundation.org/issues/7255

cleanups: apply valid cleanups suggested by copilot

Add test for gid/sed/rev that shouldn't match.

tests: add tox tests for python 3.12 and 3.13

reload: if quiet, suppress rule reload output

If successful, and the quiet flag was provided, don't output the
return from the suricatasc socket command, or whatever the rule reload
command returns.

If there was an error, the output will be logged as an error.

Ticket: https://redmine.openinfosecfoundation.org/issues/7494

matching: allow a rule revision to be matched as well

A rule ID can now be matched with a revision given the following
format of:

<gid>:<sid>:<rev>

The <gid> has to be specified for a revision match, as a specifier
with 2 components is read as "gid" and "rev".

Ticket: https://redmine.openinfosecfoundation.org/issues/7425

fix: bad variable name in metadata matcher

engine: choose better Suricata logging levels for rule test

The current default is to use SC_LOG_LEVEL=warning which can output
non-fatal warnings which is generally not what you want when running
from cron with "suricata-update -q".

Now, if "-q" is provided, run Suricata with SC_LOG_LEVEL=error which
is useful for cron to ony be notified of fata errors. Generally
end-users are not worried about rule warnings such as:

    ja3.hash should not be used together with nocase, since the rule
    is automatically lowercased anyway which makes nocase redundant.

This also allows for log level be set with SC_LOG_LEVEL, in which case
Suricata-Update  will not change the log level.

Additionally, make Suricata more verbose if Suricata-Update is run
with "-v".

Ticket: https://redmine.openinfosecfoundation.org/issues/7494

matchers: remove debug print

version: 1.3.5dev0

version: 1.3.4

index: update embedded index

changelog: update

github-ci: add Ubuntu 24.04 test build

fix: set usedforsecurity=False for md5 operations

To work on machines with FIPS enfored, md5 can't be used for security,
and Python enforces this by default, but can be used with an extra
function argument.

Re-use md5_hexdigest as it wasn't be used so we can determine if this
function argument is available, as its only available on Python 3.9
and newer.

Bug: #4479

changelog: update

github-ci: run macos python jobs in virtualenv

With the latest brew changes, a virtualenv is required to install
pyyaml.

github-ci: add fedora 40, 41; remove 38, 39

github-ci: remove centos-7 build, EOL

matching: consolidate sid matchers into a set matcher

Consolidate SID matchers into a single SID set matcher which stores a
dict of all SIDs to be matched. An array of many SID matchers to a
single matcher with much faster lookup.

This can reduce a many minute runtime down to 10s of seconds.

Ticket: #7415

version: 1.3.3

fix: add missing engine provided rules

Ticket: #6932

version: 1.3.3dev0

version: 1.3.2

tests: test for file hash list extraction

index: update embedded index

filehashes: fix for unique filehash filenames

Commit 8725e565a78caffae79584c6ec48670ca71d6618 gave each downloaded a
file a unique name so dataset files from different sources wouldn't
clobber each other, but this was applied to all files breaking file
hash lists as that code wasn't updated for the new filename scheme.

Update the file hashing code to find the files based on the filename
prefix of the rule referencing the file.

Bug: #6854

version: 1.3.2dev0

version: 1.3.1

sources: give each filename from a source a unique filename

To prevent dataset files from difference sources from overwriting each
other, give each file downloaded and extracted a prefix based on the
URL (a hash). This ensures unique filenames across all rulesets.

This mostly matters for datasets, as when datasets are processed we
are working with a merged set of filenames, unlike rules which are
parsed much earlier when we still have a list of files.

Not the most elegant solution, but saves a rather large refactor.

Bug: #6833

datasets: use filename based on filename; not content

By using a hash of the content, a new file was created everytime the
dataset was updated and never cleaned up. To address this, use a
filename that doesn't change based on the content.

Bug: #6763

fetch: handle bare file urls not ending in .rules

If a URL is a bare file, and does not end in .rules, Suricata-Update
will ignore it.  Such URLs might look like:

- https://<misp>/1011

Ticket: #3664

changelog: update

update min-version required

github: update links in the PR template

Links were still pointing to Redmine and suricata-ids.

misc: fix (more) escape warnings in re patterns

github-ci: cancel on push, read only permissions

github-ci: add fedora 39, remove fedora 37

doc: add a readthedocs configuration file

misc: fix escape warnings in re patterns

tox: test on python 3.9 -> python 3.11

datasets: fix parsing "load" when preceded by a space.

Ticket: #6777

version: 1.3.1dev0

version, changelog: 1.3.0

config: prefer configuration specified files

Suricata-Update was preferring the existence of "disable.conf" in
$sysconfdir over it be specified in the update.yaml.

Refactor the auto-conf to only search and apply the default
$sysconfdir files if they don't already exist in the config.

Additonally, now that the default, if not set or found will be none,
log a warning if a specific configuration file is not found instead of
silently ignoring.

Ticket: #6172

github-ci: update debian tests

- Add Debian 11 and 12
- Remove Debian 9

github-ci: remove ubuntu 16.04 test

Ubuntu 16.04 is now longer supported.

github-ci: update fedora tests

Use Fedora 38 and 37 instead of 36 and 35.

version: 1.3.0rc1

index: update embedded index

Now pretty.

index: embed pretty printed version of index

This will allow for easier reviewing of diffs.

changelog: sync with 1.2.x branch

doc: now bundled with all versions of Suricata

Also recommend its best installed as bundled with Suricata.

index: update embedded index

matching: match on rule metadata

Allow metadata matching for enable and disable. For example:

    metadata: deployment perimeter

will match rules with "metadata: deployment Perimeter".

Match is case insensitive.

Ticket: #5561

update: allow index "checksum" value to be a url

If the checksum field in the index is a string, use it as the checksum
URL. This allows a source to specify a custom checksum URL instead of
the derived ".md5" URL.

Ticket: #5684

source: better error if source spec missing "source" keyword

Related ticket: #5141

changelog: sync with master-1.2.x

As no 1.3.0 releases have been made up, cleanup the changelog.

github-ci: fix pytest on MacOS

github-ci: add Ubuntu 22.04 test

github-ci: replace Fedora 34 test with Fedora 36

Fedora 34 is EOL.

github-ci: add almalinux 9 build

At this time, tox and pytest don't install cleanly from packages on
the RHEL spinoffs, so just do the integration tests for now.

index: update embedded index

tests/docker: remove ubuntu 16.04 build, EOL

entry point: update sys.path for non-distutils install

When bundled with Suricata, Suricata-Update will not be installed with
distutils/setuptools and will be installed in a custom location. Update
the search path for these changes.

This will still work correctly if installed from pip, or running from a
custom directory not bundled with Suricata.

Issue: #5313

Remove line of debug output.

changelog: update

Better URL fail message on with --fail.

If --fail, we wil not use the cached version.

main: add fail option and handle it

Ticket 4579

main: use format for error strings

Don't fail when source removed from index.

Instead of failing when an enabled source is no longer in the index, log
an error and continue onto the next source.

Ticket 5269

modify: metadata-add filter

A new addition to `modify.conf` that allows for adding a new metadata.

Example configuration lines:
  metadata-add re:"SURICATA STREAM" "evebox-action" "archive"
  metadata-add 2010646 "evebox-action" "archive"

Matching rules will have a new `metadata` section added onto the end of
the rule.

Ticket #5221

datasets: dataset handling for --local files

Look for datasets on the filesystem when referenced from rules loaded
with "--local".

datasets: disable rule if file not found

If a dataset file is not found for load, print a warning and disable the
rule. This will allow Suricata to pass the -T test so the working rules
are updated instead of rolling back.

datasets: rewrite dataset filenames to a hash of the filename

Prevents dataset filenames from different rulesets that share the same
name from overwriting each other.

datasets: fix path handling issues

handle dataset files properly

- Cover edge cases for invalid dataset rules
- Handle "state" attribute
- Make checks more robust

Ticket 5010

Respect Suricata's install location when loading config.

During startup change the default locations of S-U configuration files
(enable.conf, disable.conf, etc) to be relative to the installed
Suricata's --sysconfdir, but only if they exist.  This keeps the
fallback behaviour to /etc/suricata for now.

Ticket #4374

changelog: add fix for issue 4373

checkversions: fix wrong version checks

Ticket 4373

github-ci: update fedora tests to f34 and f35

github-ci: convert centos 8 build to almalinux 8

changelog: update

Add warning to update sources if no index found

Don't automatically update the sources on list-sources
if it does not exist. Instead just use the bundled version.

Ticket #3249.

help output: hide advanced options behind a flag

Cleaning up the suricata help output and hiding the extra options
behind a "--show-advanced" option.

Hidden options are:

* --user-agent <user-agent>
* --no-check-certificate
* --yaml-fragment <filename>
* --url <url>
* --local <path>
* --sid-msg-map <filename>
* --sid-msg-map-2 <filename>
* --ignore <pattern>
* --no-ignore
* --threshold-in <filename>
* --threshold-out <filename>
* --dump-sample-configs
* --etopen
* --reload-command <command>
* --test-command <command>
* --no-merge

Ticket #3974.

doc: add --show-advanced to common options

Ticket #3974.

logging: Improve flowbit logs

Add and update debug logs for flowbit requirements to display pass

Ticket #3205.

trivial typo in comment

changelog: update

Fix counter accuracy.

Instead of counting how many modifications took place, just
count the number of rules that were modified.

Fix multiple modifications not having an affect.

In the case where multiple modifications changed a rule (drop included),
only the last modification took affect.

This is due to the modifications each being done on a clean version of
the rule, rather than the previously modified version of the rule.

Ticket #4259

tests: add integration tests for multiple modifications

integration tests: format

index: allow custom url for embedded index update

Doc: Improve documentation of Suricata reload.

Redmine issue: https://redmine.openinfosecfoundation.org/issues/4564

doc: fix formatting error

changelog: update

Allow more characters in the custom headers

Allow more characters in the custom header regular expression to
allow for Oauth2 tokens.

Feature #4701.

[Commit message rewritten by jish@oisf.net with permission]