util/action: convert unittests to FAIL/PASS API

Task #5371

util/action: unittests clean-up (to sv tests)

Removing all unittests that work better as suricata-verify tests.

Task #5371

unittest: minor helper cleanup

detect/parse: cleanup test

detect: parsing test cleanups/improvements

host-os-info: add test to show mixed ipv4/ipv6

rule/vars: clean up tests

detect/iponly: minor code cleanup

detect/iponly: include postmatch in determination

detect/iponly: simplify handling of 'any' parsing

detect: address parsing variable rename to match code style

detect/iponly: remove unused code

rust: fix doc comments that trigger rust warnings

Rust generates warnings that are treated as errors for documentation
blocks before `extern` blocks.

github-actions: bump ossf/scorecard-action from 1.0.4 to 1.1.0

Bumps [ossf/scorecard-action](https://github.com/ossf/scorecard-action) from 1.0.4 to 1.1.0.
- [Release notes](https://github.com/ossf/scorecard-action/releases)
- [Changelog](https://github.com/ossf/scorecard-action/blob/main/RELEASE.md)
- [Commits](https://github.com/ossf/scorecard-action/compare/c1aec4ac820532bab364f02a81873c555a0ba3a1...5c8bc69dc88b65c66584e07611df79d3579b0377)

---
updated-dependencies:
- dependency-name: ossf/scorecard-action
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

stream: add packet header outside of lock

log/pcap: open handles outside of lock

log/pcap: add buffer timeout

Set timeout for pcap log so that packets do not sit
in buffer. Set default to one second.

stream: memcap tracking for TcpSegment alloc

log/pcap: handle case of multiple link types

flow: set datalink for pseudo packet

Set pseudo packet datalink to the global one. This fixes the case
where the pcap handle is open with information coming from a
pseudo packet. Without this, we did end up in most cases with
an Ethernet packet being written in a Raw pcap.

suricata: introduce global linktype

As Suricata is not supporting pcap-ng we have to stick with one single
datalink type for the capture if ever we want to do pcap logging.
Assuming this, this patch introduces a function to set the link
type globally. This will be used with pcap conditional logging
to get the logging of TCP segments with the correct link type.

log/pcap: log segments for pseudo packets

log/pcap: fix conditional pcap in tag mode

We were missing the first packet when using condition pcap logging
in tag mode as it was not tagged. As a result we were not getting
the stream data triggering the alert in the pcap file.

detect/tag: add a tag for first packet

We may need to know that a packet has been tagged but is the
first one (and thus is not tagged).

log/pcap: dump segments of both sides of tcp session.

This patch updates tcp segment dumping to dump segments
from both sides of the session in order when capturing
alerts and tags.

doc: add info about capture_file key

log/pcap and eve/alert: get pcap filename to support multi mode

This patch adds a function to get the current pcap file name that
will be used to current packet. This patch also  updates EVE
alerts to add pcap output filename when pcap capture is done in
multi or normal mode.

log/pcap: fix typo in error message

stream: count realloc in memcap

TCP memory cap was not taking into account the memory that can
be used by realloc of Packet headers in TCP segments.

log/pcap: update copyright date

doc: add conditional pcap logging info

log/pcap: introduce tag as logging condition

This patch adds the tag as logging condition. If this option is
used all tagged packets are written to the pcap.

log/pcap: fix some indentation and white spaces

log/pcap: add support for tunnel logging

In alert mode, we need to write the root packet to the pcap
file instead of the packet that did trigger the alert.

log/pcap: add existing stream logging

This patch update the alert mode of pcap logging.

It uses the packet header data added to the TCP segments
to build packets corresponding to the acked data that did trigger
the alert. It then write it to the pcap file before starting to
dump all packet for the flow that did alert.

stream: conditionally add packet header to segment

This patch optionally adds packet header to the TCP segment
and update the for each segment function by changing the
callback.

This patch is based on the work by Scott Jordan <scottfgjordan@gmail.com>

detect: add flag when packet is first with alert

We add a flag to packet to be able to know if this packet was the
first one to get alerts on the flow.

log/pcap: add PcapWrite function

It will be used later when multiple writing operations will be
necessary.

log/pcap: conditional logging

Add an option to only write to pcap packets with alerts and flow
that have alerted.

github-ci: remove fedora 34 build

Fedora 34 goes EOL in early June. The checks in this build are already
covered by the 35 and 36 builds.

github-ci: bump fedora versions

35 -> 36
34 -> 35
33 -> 34

rules: use primary default-rule-path if set on command line

When reloading rules, respect `--set default-rule-path=...` from the
command line if set.

Previously the rule reload would always take the default-rule-path from
the configuration file, even if overrided on the command line.

Issue: #1911

detect/alert: directly increment alerts.discarded

In the unlikely case of AlertQueueExpand failure, we were incrementing
the discarded alerts stats in AlertQueueAppend via the Packet member in the
DetectEngineThreadCtx, which may not be initialized yet.

Bug #5353

dcerpc: use vecdeque tx iterator

Ticket: #5321

github-actions: bump github/codeql-action from 2.1.9 to 2.1.11

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 2.1.9 to 2.1.11.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/7502d6e991ca767d2db617bfd823a1ed925a0d59...a3a6c128d771b6b9bdebb1c9d0583ebd2728a108)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

github-actions: bump actions/upload-artifact from 3.0.0 to 3.1.0

Bumps [actions/upload-artifact](https://github.com/actions/upload-artifact) from 3.0.0 to 3.1.0.
- [Release notes](https://github.com/actions/upload-artifact/releases)
- [Commits](https://github.com/actions/upload-artifact/compare/6673cd052c4cd6fcf4b4e6e60ea986c889389535...3cea5372237819ed00197afe530f5a7ea3e805c8)

---
updated-dependencies:
- dependency-name: actions/upload-artifact
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

protodetect: use both directions over UDP

As is already done for TCP

Ticket: #2757

protodetect: be more tolerant

Do not mask protocols on both directions with only first packet

For instance :
When the first packet is no valid DNS but on port 53 (a junk request)
second packet (error response from server) does not get checked for DNS
as first packet bit masked away DNS for both directions

Ticket: #2757

stacktrace-on-signal: Use kill(getpid(), sig_num)

kill(0, ...) re-raises the signal to every processes in the process
group which may impact unrelated processes.

Concretely, in our CI pipeline, a segfaulting Suricata process killed
the test driver.

suricata.yaml: include version that generated this file

Add a line to the configuration that says which version generated the
configuration file.  For example:

    # This configuration generated by:
    #     Suricata 7.0.0-dev

Issue: #4784

stream/segtree: improve docs, error handling

streaming/buffer: add debug validation for 'impossible' condition

app-layer: make registration structure more compact

htp: minor format string fixes

datasets: constify some function args

time: reduce scope of static string

threshold: constify detect engine arg

thash: reduce scope for var; suggested by cppcheck

spm: constify badchars; suggested by cppcheck

radix: small cppcheck suggested cleanup

packetpool: minor cleanup

stream: minor code cleanups suggested by cppcheck

defrag: minor code cleanups suggested by cppcheck

output/flow: no double var init

smtp: minor code cleanup

app-layer: minor code cleanups suggested by cppcheck

app-layer/expectation: reduce scope and init vars

ftp: code clarifications

src/app-layer-ftp.c:945:49: style: Parameter 'ftp_state' can be declared with const [constParameter]
static FTPTransaction *FTPGetOldestTx(FtpState *ftp_state, FTPTransaction *starttx)
                                                ^

util/byte: minor cleanup

threads: remove usused code; wrap in guards

threads: remove unused function

unittests: wrap unittest registration in guards

app-layer/profiling: hide profiling code behind guards

app-layer/events: remove unused function

output/frames: fix eof var overwrite

stream/reassembly: reduce scope of variable

stream/buffer: remove redundant check

decode/checksums: constify pointer args

detect/state: address cppcheck warnings

src/detect-engine-state.c:127:91: style: Suspicious calculation. Please use parentheses to clarify the code. The code ''a&b?c:d'' should be written as either ''(a&b)?c:d'' or ''a&(b?c:d)''. [clarifyCalculation]
    DetectEngineStateDirection *dir_state = &state->dir_state[direction & STREAM_TOSERVER ? 0 : 1];
                                                                                          ^
src/detect-engine-state.c:194:53: style: Suspicious calculation. Please use parentheses to clarify the code. The code ''a&b?c:d'' should be written as either ''(a&b)?c:d'' or ''a&(b?c:d)''. [clarifyCalculation]
    de_state->dir_state[direction & STREAM_TOSERVER ? 0 : 1].filestore_cnt += file_no_match;
                                                    ^
src/detect-engine-state.c:201:57: style: Suspicious calculation. Please use parentheses to clarify the code. The code ''a&b?c:d'' should be written as either ''(a&b)?c:d'' or ''a&(b?c:d)''. [clarifyCalculation]
    if (de_state->dir_state[direction & STREAM_TOSERVER ? 0 : 1].filestore_cnt == sgh->filestore_cnt)
                                                        ^

detect/file: minor code cleanup

Reduce scope where possible. Suggested by cppcheck.

runmodes: fix more warnings

memcmp: no-simd no case loop can scan forward

memcmp: use SCMEMCMP_BYTES everywhere; general cleanups

memcmp: work around GCC 12+ 'blend' issues

Since GCC 12 the memcmp code using `_mm_blendv_epi8` failed to work.
Inspection of the disassembled objects suggests that it simply omits
the instruction on systems that are not AVX512 capable. On AVX512
it does replace it with VPCMPB logic that appears to work.

Luckily our use of blend is actually uncessary. A simple AND is sufficient.

Bug: #5312.

memcmp: remove unreachable code from memcmp simd

cppcheck:

src/util-memcmp.h:281:18: warning: Identical condition 'len-offset<16', second condition is always false [identicalConditionAfterEarlyExit]
        if (diff < 16) {
                 ^
src/util-memcmp.h:280:24: note: 'diff' is assigned value 'len-offset' here.
        int diff = len - offset;
                       ^
src/util-memcmp.h:269:33: note: If condition 'len-offset<16' is true, the function will return/exit
        if (likely(len - offset < 16)) {
                                ^
src/util-memcmp.h:281:18: note: Testing identical condition 'len-offset<16'
        if (diff < 16) {
                 ^
src/util-memcmp.h:344:18: warning: Identical condition 'len-offset<16', second condition is always false [identicalConditionAfterEarlyExit]
        if (diff < 16) {
                 ^
src/util-memcmp.h:343:24: note: 'diff' is assigned value 'len-offset' here.
        int diff = len - offset;
                       ^
src/util-memcmp.h:318:33: note: If condition 'len-offset<16' is true, the function will return/exit
        if (likely(len - offset < 16)) {
                                ^
src/util-memcmp.h:344:18: note: Testing identical condition 'len-offset<16'
        if (diff < 16) {
                 ^
src/util-memcmp.h:171:18: warning: Identical condition 'len-offset<16', second condition is always false [identicalConditionAfterEarlyExit]
        if (diff < 16) {
                 ^
src/util-memcmp.h:170:24: note: 'diff' is assigned value 'len-offset' here.
        int diff = len - offset;
                       ^
src/util-memcmp.h:159:33: note: If condition 'len-offset<16' is true, the function will return/exit
        if (likely(len - offset < 16)) {
                                ^
src/util-memcmp.h:171:18: note: Testing identical condition 'len-offset<16'
        if (diff < 16) {
                 ^
src/util-memcmp.h:233:18: warning: Identical condition 'len-offset<16', second condition is always false [identicalConditionAfterEarlyExit]
        if (diff < 16) {
                 ^
src/util-memcmp.h:232:24: note: 'diff' is assigned value 'len-offset' here.
        int diff = len - offset;
                       ^
src/util-memcmp.h:208:33: note: If condition 'len-offset<16' is true, the function will return/exit
        if (likely(len - offset < 16)) {
                                ^
src/util-memcmp.h:233:18: note: Testing identical condition 'len-offset<16'
        if (diff < 16) {
                 ^

detect/iponly: fix debug compiler warning

dcerpc: convert transaction list to vecdeque

Allows for more efficient removal from front of the list.

Ticket: #5271

mqtt, rdp: fix copyright dates

rust: RustParser same fields as AppLayerParser

So that there is no problem when crossing FFI

configure.ac: handle undefined LEVEL1_DCACHE_LINESIZE

On some platforms (riscv64, s390x) this value is "undefined" as returned
from getconf. We also need to handle this to avoid using the string
"undefined" blindly in further #defines.

doc: add note about file.data and file_data

Signed-off-by: jason taylor <jtfas90@gmail.com>

doc: update file_data to file.data keyword

Signed-off-by: jason taylor <jtfas90@gmail.com>

doc: remove extra newline in order to match style

Signed-off-by: jason taylor <jtfas90@gmail.com>

doc: remove extraneous + characters

Signed-off-by: jason taylor <jtfas90@gmail.com>

ftp-data: fix direction for active mode commands

Set correct direction for PORT mode, where the server connects
to the client.

The direction is not also strictly enforced. No data in the wrong
direction will be accepted to setup the file or to be added to the
file after setup.

This also fixes files getting closed twice.

Adds some general cleanups.

Bug: #3542.

nfs3/records: Fix typo

Fix response_lookup unittest name

template: convert GetTx to SCLogDebug

as it is especially verbose for fuzzing

scripts/bundle: use git instead of tar.gz

To better fit with our current CI processes, use git to clone the
suricata-update and libhtp dependencies.  The requirements.txt file has
been modified to take a repo URL and a `-b` command line option for tag
or branch.

For the master branch we will use the libhtp 0.5.x branch and the
suricata-update master branch.

Also allows for repo and branch names to be overrided with environment
variables:
- SU_REPO
- SU_BRANCH
- LIBHTP_REPO
- LIBHTP_BRANCH

decode: fix integer warnings

Ticket: 4516

ftp: truncate first segment if over max length

The first segment was not limited to the configured maximum line length
allowing it to be up to 65k. This could result in the next input length
being negative, which while handled properly by the code, did trigger a
debug validation assertion.

The fix is to be consistent and apply the limit to the first segment as
well, which does ensure the input_len could never be less than 0.

Ticket #5281