ci: update ndpi to 4.14

doc/luaxform: Remove init function from example

Issue: 8035

The `luaxform` transform doesn't support the `init` function. This
commit removes that from the example and clarifies how functions in the
Lua script are used.

doc/devguide: explain alert logging changes

eve/verdict: more explicit pass handling

Instead of indexing `Packet::alerts` to find out if the action should
be `ACTION_PASS`, add an arguement to make this explicit from the alert
logging logic.

Bug: #7630.

detect/alert: fully add pass-only rules to alert queue

Pass-only rules were previously stored in Packet::alerts, but not
correctly. The `cnt` wasn't incremented leaving it in a weird state.

This patch changes the logic to have a `pass` entry be added to the
queue as well as incrementing the `cnt`. As a consequence of this the
alert logging needs to explicitly check for `PacketAlert::action` having
`ACTION_ALERT` set now.

Update the alert loggers.

Bug: #8021.

detect/threshold: set missing alert flag in rate_filter

ACTION_ALERT is supposed to be set now, but wasn't for rate_filter.
This becomes important in a follow up patch where only PacketAlert
entries with `action` `ACTION_ALERT` are logged in alert logging.

eve/verdict: clean up packet action checking

Get action from packet just once.

output/http: log content-type like other headers

Ticket: 8056

Avoid stack allocation.
Do not handle null and ; especially

unix-socket: return after closing on too long

Avoids later use after free

Ticket: 8063

util/swf: move allocation from stack to heap

As it can overflow the stack

Ticket: 8055

htp: bound decompression

Ticket: 7980

Usage of Vec<u8> instead of Box<u8> gave the ability to callers
to grow the buffer (indefinitely)
This was regressed in 16fee333687d9fac72a1cf5d37ff08bfb780b3ed

Additionnaly, use rust WriteZero instead of WouldBlock as a more
fitting error when cursor is full, as that error kind is the
one tested by callers.

detect/integers: rename index all1 to all

And all to all_or_absent

Ticket: 7929

detect/vlan: move vlan.id keyword to generic integer

Ticket: 7929

snmp: can be set to detection-only

Realloc alp_ctx.ctxs when a dynamic alproto is registered and
g_alproto_max increases. So dynamic alproto can be treated as
real/normal ones. And app-layer switch can be set to any value
of no/deteciton-only/yes.

Ticket: 8000

rust: bindgen frames functions

Ticket: 7667

rust: bindgen SCSRepCatGetByShortname

Ticket: 7667

detect/address: switch tests to FAIL/PASS API

Ticket: #4023

src: check retval of VarNameStoreRegister

VarNameStoreRegister can return 0 in case of any error conditions.
Handle this case in all the users of this function. It is an unlikely
event so add branch assistance accordingly.

Bug 8054

detect/xbits: use correct Free fn

Most call sites use a casula SCFree fn to get rid of the DetectXbitsData
in case of an error. However, if a varname is also registered, that must
be unregistered too. Fix all the free calls by replacing them with the
appropriate DetectXbitFree fn.

detect/xbits: remove unneeded cast to check ptr validity

detect/xbits: use calloc to avoid undefined behavior

detect/lua: remove extra NULL check

The fn DetectLuaFree checks if the pointer (DetectLuaData) passed to it
is valid. So, the checks for NULL in the call sites can safely be
removed.

detect/flowvar: remove extra NULL check

The fn DetectFlowvarDataFree checks if the pointer (DetectFlowvarData)
passed to it is valid. So, the checks for NULL in the call sites can
safely be removed.

detect/flowint: clean up free fn

detect/flowint: remove extra NULL check

The fn DetectFlowintFree checks if the pointer (DetectFlowintData)
passed to it is valid. So, the checks for NULL in the call sites can
safely be removed.

detect/flowint: use calloc to avoid undefined behavior

util/varname: check id before unregister

In case of an error a varname id is set to 0. Ideally, it shouldn't be
found in the hash table lookup but add a check anyway to avoid obtaining
the mutex lock and performing the lookup.

exception-policy: rename 'reject-both' to 'rejectboth'

To align it with the rule action.

python/Makefile.am: fix file permissions of python/suricata/config/defaults.py

The install command, by default, sets 0755 if -m is not specified, so the
file python/suricata/config/defaults.py will be marked as an executable,
though it isn't.

github-actions: bump github/codeql-action from 3.30.5 to 4.31.2

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.30.5 to 4.31.2.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Commits](https://github.com/github/codeql-action/compare/v3.30.5...v4.31.2)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-version: 4.31.2
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>

github-actions: bump actions/download-artifact from 5.0.0 to 6.0.0

Bumps [actions/download-artifact](https://github.com/actions/download-artifact) from 5.0.0 to 6.0.0.
- [Release notes](https://github.com/actions/download-artifact/releases)
- [Commits](https://github.com/actions/download-artifact/compare/634f93cb2916e3fdff6788551b99b062d0335ce0...018cc2cf5baa6db3ef3c5f8a56943fffe632ef53)

---
updated-dependencies:
- dependency-name: actions/download-artifact
  dependency-version: 6.0.0
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>

github-actions: bump actions/upload-artifact from 4 to 5

Bumps [actions/upload-artifact](https://github.com/actions/upload-artifact) from 4 to 5.
- [Release notes](https://github.com/actions/upload-artifact/releases)
- [Commits](https://github.com/actions/upload-artifact/compare/v4...v5)

---
updated-dependencies:
- dependency-name: actions/upload-artifact
  dependency-version: '5'
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>

doc/devguide: document eve callback

Document the callback for adding additional data to EVE.

Ticket: #4708

doc/devguide: document eve file types

Ticket: #4708

output/jsonbuilder: helper function SCJbSetPrintAsciiString

To replace C PrintStringsToBuffer and avoid a stack alloc
+ copy

Ticket: 8004

requirements.txt: use suricata-update master

Master makes sense for Suricata main branch as we are on a ways out on a
release.

lua: remove luajit pushlstring workaround

81ee6f5aadeb ("lua: push correct length back through ScFlowvarGet, work around valgrind warning")
added a workaround for valgrind warnings in pushing a string buffer
into the lua state. This is no longer needed as tested with both
address sanitizer and valgrind.

rust/sip: delete redundant computing codes

Delete call of is_alphanumeric where is_alphanumeric and
is_token_char are called together. Four places are modified.

Ticket: 8003

doc/userguide: document reject-both expection policy

Ticket: #5974.

exception-policy: add 'reject-both' option

Allow rejecting both sides of a connection. Has the same support
as regular reject (which is essentially rejectsrc).

Ticket: #5974.

output/eve: fix typos

To accompany documentation work done in

Task #4708

detect/base64_data: Convert unittests to FAIL/PASS API

Ticket: #6320

rust/ike: convert to nom 8

Ticket: #8050

rust/mime: convert to nom 8

Ticket: #8048

rust/mqtt: convert to nom 8

Ticket: #8047

rust/websocket: convert to nom 8

Ticket: #8046

rust/bt-dht: convert to nom 8

Ticket: #8045

rust/rdp: convert to nom 8

Ticket: #8044

rust/telnet: convert to nom 8

Ticket: #8043

rust/ssh: convert to nom 8

Ticket: #8042

rust/rfb: convert to nom 8

Ticket: #8041

rust/pgsql: convert to nom 8

Ticket: #8039

rust/enip: convert to nom 8

Ticket: #8038

rust/tftp: convert to nom 8

Ticket: #8037

rust/dhcp: convert to nom 8

Ticket: #8036

util/var: add NULL check in VarNameStoreRegister

And check return value in entropy keyword setup

detect: fix null deref with entropy keyword

Ticket: 7959

Usage of entropy with base64_data led to NULL dereference

detect/http2: call correct free function on errors

Fix cases where the wrong free function was being called in error
handlers.

DetectHTTP2sizeUpdateSetup was calling DetectHTTP2settingsFree instead
of DetectHTTP2sizeUpdateFree in error case.

Moving http2.priority and http2.window to multi-integers, instead
of basic integers only modified the Free callback, but the
Setup function was still using the direct call to old obsolete free
function.
Using the callback Free abstration in Setup, allows to be
consistent and have less code to change.

flow-timeout: Use yaml config value for CAPTURE_BYPASSED flow

Instead of non configurable constant FLOW_BYPASSED_TIMEOUT

Ticket: #8014

rust: reduce visibility of detect_parse_uint_notending

It is meant as an internal function

Also document the function

detect: urilen keyword fails on trailing junk

Fails especailly on 1<>2 which looks like a range, but is invalid
as too small, and ended up being accepted as =1

Ticket: 8028

plugins: update SC_API_VERSION to 9

So that plugins built for 8 will fail to load with 9 as there
were already breaking changes in the structures and functions
prototypes

detect/filestore: Convert unittest to new FAIL/PASS API

Ticket: #6317

rust/applayertemplate: convert to nom 8

Ticket: #8027

rust/sip+sdp: update to nom 8

Done together as there is a dependence of SDP by SIP.

Ticket: #8025

rust/ftp: update to nom 8

Ticket: #8026

rust/dns: convert to nom 8.0

Ticket: #8024

rust: add nom8 as a dependency

For the update from nom 7 to nom 8.

detect/ip.src: Allow use with transforms

This commit registers ip.src/ip.dst properly so they can be used with
transforms.

Issue: 8015

detect/analyzer: added more details for the ttl keyword

Ticket: #6310

detect-urilen: convert unittests to FAIL/PASS APIs

Ticket: #6325

rule/vars: convert unittests to new FAIL/PASS API

Ticket: #6333

threads: convert unittests for FAIL/PASS APIs

Ticket: #6327

detect: address intermittent UT crash on OpenBSD

Add missing flow memset in test SCSigOrderingTest12 to avoid the crash.

Test SCSigOrderingTest12                                          : Info: unittest-helper: Sid 1 matched 1 times, as expected [UTHCheckPacketMatchResults:util-unittest-helper.c:638]
Info: unittest-helper: Sid 2 matched 1 times, as expected [UTHCheckPacketMatchResults:util-unittest-helper.c:638]
bash: line 144: 88567 Segmentation fault      (core dumped) ./src/suricata -u -l /tmp/

Bug: #8008.

ippair-storage: convert unittests to FAIL/PASS APIs

Ticket: #6315

rust: pin indexmap

Newer indexmap, pulled in by serde_json requires Rust 1.82, so pin
pack to 2.11.4 which still works with Rust 1.75.

detect/dbv: Assert MT lock held

Add a DBV assert to validate that the master->lock is held.

Suppress missing master->lock warning

Issue: 7819

engine/mt: Ensure master lock held for reload

Issue: 7819

DetectEngineReload must hold the `master->lock`; recent changes changed
the locking usages to avoid deadlock when registering/handling tenants.
These changes added the presumption that the master lock is held at a
higher level. Coverity highlighted that the lock is not held
consistently.

doc: minor verbiage tweaks and reST fix

rust: bindgen more http range functions used in http2

Ticket: 7667

rust: bindgen SCHttpRangeFreeBlock

Ticket: 7667

rust: bindgen SCHTTP2MimicHttp1Request

Ticket: 7667

detect: tcp.flags rejects non-sensical values

ignored flags are only meaningful for equal mode

detect: tcp.flags unit tests improvements

Tests better the ignored flags functionality.
This functionality is only used at detection for default mode,
it is not used for any, plus or not mode.

So, have unit tests about igored flags with default mode with
both matching and non matching cases

detect/tcp: make tcp.flags a generic integer with bitflags

Ticket: 6724

Allows to use numerical values for example

Also fixes some unit tests that were returning 1 after goto error
FlagsTestParse05 especially took this path as
de->ignored_flags != (TH_SYN|TH_RST) was false
we had de->ignored_flags == 0xff ^ (TH_SYN|TH_RST)
And then, we had a match, instead of what the not-run code
was supposing.

detect/ipv4: make fragbits a generic uint16 bitflags keyword

Ticket: 6724

Allows to use numerical values

detect/integers: generalize support for bitflags modifier

Ticket: 6724

Allows sugar syntax for bitflags keywords.
While the expressivity does not increase, because we could already
use numerial values with all generic integer modes, this modifier
prefix is used with the strings, and follows the syntax
that is already used for fragbits and tcp.flags keyword.

ippair-bit: Convert unittests to FAIL/PASS APIs

Ticket: #6323

applayer/tls: do not free SAN for decoding error

SSL connp maintains all the state and certificate data that was
parsed/decoded successfully and it must retain that for later usage.
There should be just one place to free this object which is SSLStateFree
for both the directions. By freeing the connp data during parsing error,
there is room for memory errors.
This works so far because the field parsed after this cannot error out so
if there's an error parsing this, it anyway does not exist. However, this
is incorrect and leaves scope for mistakes.

Remove this extra free and treat SAN like all other TLS keywords.

Bug 7996

pcap-log: fix bpf-filter not set for multi mode

Bug: #8002.

libhtp: fix newer clippy lints with newer MSRV

quic/crypto: remove use of GenericArray

Its not needed, and gets rid of the deprecation warnings.

rust: update deps with cargo-update

Suppress deprecation warnings in quick/crypto.rs about GenericArray.

rust: update aes-gcm to 0.10.3

rust: update aes to 0.8.4

detect/integers: count argument for multi-integers

Ticket: 7211

Allows to count the number of elements, without matching on
individual elements

doc: fix enip_command name in json schema

enip.command is not a keyword nor an alias

unittests: move http.cookie tests to FAIL/PASS API

unittests: move http.stat_code tests to FAIL/PASS API

unittests: convert http_raw_header tests to FAIL/PASS api