Merge suricata (1:6.0.1-3+deb11u1) import into refs/heads/workingbranch

CVE-2024-55626

commit 470795e65ba77cffba3aed850313a5f23c4b278d
Author: Philippe Antoine <pantoine@oisf.net>
Date:   Mon Nov 4 17:09:32 2024 +0100

    suricata/bpf: fix -Wshorten-64-to-32 warning

    Ticket: 7366
    Ticket: 6186
    (cherry picked from commit dd71ef0af222a566e54dfc479dd1951dd17d7ceb)

Gbp-Pq: Name CVE-2024-55626.patch

CVE-2025-29918

commit f6c9490e1f7b0b375c286d5313ebf3bc81a95eb6
Author: Philippe Antoine <pantoine@oisf.net>
Date:   Tue Jan 28 15:02:45 2025 +0100

    detect/pcre: avoid infinite loop after negated pcre

    Ticket: 7526

    The usage of negated pcre, followed by other relative payload
    content keywords could lead to an infinite loop.

    This is because regular (not negated) pcre can test multiple
    occurences, but negated pcre should be tried only once.

    (cherry picked from commit b14c67cbdf25fa6c7ffe0d04ddf3ebe67b12b50b)

Gbp-Pq: Name CVE-2025-29918.patch

CVE-2024-45796

commit 9203656496c4081260817cce018a0d8fd57869b5
Author: Philippe Antoine <pantoine@oisf.net>
Date:   Mon Jul 15 09:52:00 2024 +0200

    defrag: fix off by one

    Ticket: 7067

    This off by one could lead to an empty fragment being inserted
    in the rb tree, which led to integer underflow

Gbp-Pq: Name CVE-2024-45796.patch

CVE-2024-37151

commit 9d5c4273cb7e5ca65f195f7361f0d848c85180e0
Author: Victor Julien <vjulien@oisf.net>
Date:   Tue Jun 4 14:43:22 2024 +0200

    defrag: don't use completed tracker

    When a Tracker is set up for a IPID, frags come in for it and it's
    reassembled and complete, the `DefragTracker::remove` flag is set. This
    is mean to tell the hash cleanup code to recyle the tracker and to let
    the lookup code skip the tracker during lookup.

    A logic error lead to the following scenario:

    1. there are sufficient frag trackers to make sure the hash table is
       filled with trackers
    2. frags for a Packet with IPID X are processed correctly (X1)
    3. frags for a new Packet that also has IPID X come in quickly after the
       first (X2).
    4. during the lookup, the frag for X2 hashes to a hash row that holds
       more than one tracker
    5. as the trackers in hash row are evaluated, it finds the tracker for
       X1, but since the `remove` bit is not checked, it is returned as the
       tracker for X2.
    6. reassembly fails, as the tracker is already complete

    The logic error is that only for the first tracker in a row the `remove`
    bit was checked, leading to reuse to a closed tracker if there were more
    trackers in the hash row.

    Ticket: #7042.

Gbp-Pq: Name CVE-2024-37151.patch

CVE-2024-32663-2

commit d24b37a103c04bb2667e449e080ba4c8e56bb019
Author: Philippe Antoine <pantoine@oisf.net>
Date:   Thu Mar 28 11:15:51 2024 +0100

    http2: do not log duplicate headers

    Ticket: 6900

    And thus avoid DOS by logging a request using a compressed
    header block repeated many times and having a long value...

    (cherry picked from commit 03442c9071b8d863d26b609d54c6eacf4de9e340)

Gbp-Pq: Name CVE-2024-32663-2.patch

CVE-2024-32663-1

commit 08d93f7c3762781b743f88f9fdc4389eb9c3eb64
Author: Philippe Antoine <pantoine@oisf.net>
Date:   Wed Mar 27 14:33:54 2024 +0100

    http2: use a reference counter for headers

    Ticket: 6892

    As HTTP hpack header compression allows one single byte to
    express a previously seen arbitrary-size header block (name+value)
    we should avoid to copy the vectors data, but just point
    to the same data, while reamining memory safe, even in the case
    of later headers eviction from the dybnamic table.

    Rust std solution is Rc, and the use of clone, so long as the
    data is accessed by only one thread.

    (cherry picked from commit 390f09692eb99809c679d3f350c7cc185d163e1a)

Gbp-Pq: Name CVE-2024-32663-1.patch

CVE-2023-35852-2

commit 735f5aa9ca3b28cfacc7a443f93a44387fbacf17
Author: Jason Ish <jason.ish@oisf.net>
Date:   Tue Jun 6 16:04:56 2023 -0600

    datasets: flag to disable "write" actions

    Add a new configuration flag, "datasets.rules.allow-write" to control
    if rules can contain "save" or "state" rules which allow write access
    to the file system.

    Ticket: #6123

Gbp-Pq: Name CVE-2023-35852-2.patch

CVE-2023-35852-1

commit aee1523b4591430ebed1ded0bb95508e6717a335
Author: Jason Ish <jason.ish@oisf.net>
Date:   Tue May 23 15:17:59 2023 -0600

    datasets: don't allow absolute or paths with directory traversal

    For dataset filenames coming from rules, do not allow filenames that
    are absolute or contain a directory traversal with "..". This prevents
    datasets from escaping the define data-directory which may allow a bad
    rule to overwrite any file that Suricata has permission to write to.

    Add a new configuration option,
    "datasets.rules.allow-absolute-filenames" to allow absolute filenames
    in dataset rules. This will be a way to revert back to the pre 6.0.13
    behavior where save/state rules could use any filename.

    Ticket: #6118

Gbp-Pq: Name CVE-2023-35852-1.patch

CVE-2021-45098

commit 50e2b973eeec7172991bf8f544ab06fb782b97df
Author: Victor Julien <victor@inliniac.net>
Date:   Tue Oct 5 14:48:27 2021 +0200

    stream/tcp: handle RST with MD5 or AO header

    Special handling for RST packets if they have an TCP MD5 or AO header option.
    The options hash can't be validated. The end host might be able to validate
    it, as it can have a key/password that was communicated out of band.

    The sender could use this to move the TCP state to 'CLOSED', leading to
    a desync of the TCP session.

    This patch builds on top of
    843d0b7a10bb ("stream: support RST getting lost/ignored")

    It flags the receiver as having received an RST and moves the TCP state
    into the CLOSED state. It then reverts this if the sender continues to
    send traffic. In this case it sets the following event:

        stream-event:suspected_rst_inject;

    Bug: #4710.

Gbp-Pq: Name CVE-2021-45098.patch

[PATCH] stream/tcp: don't reject on bad ack

Not using a packet for the streaming analysis when a non zero
ACK value and ACK bit was unset was leading to evasion as it was
possible to start a session with a SYN packet with a non zero ACK
value to see the full TCP stream to escape all stream and application
layer detection.

This addresses CVE-2021-35063.

Fixes: fa692df37 ("stream: reject broken ACK packets")
Ticket: #4504.

Gbp-Pq: Name stream-no-reject-bad-ack.patch

llc

Gbp-Pq: Name llc.patch

[PATCH] ebpf: avoid to include if_tunnel.h

This is causing a dependency issue as file from another architecture
have to be installed.

Gbp-Pq: Name avoid-to-include-if_tunnel-h.patch

do not install the suricata Python module

Bug: https://redmine.openinfosecfoundation.org/issues/3156
Last-Update: 2019-09-18

Suricata's Python tools only import submodules of 'suricata'. Not installing
this module ensures that there is no chance of having an __init__.py in the
root module directory that might clash with other packages, e.g. suricata-
update.

Gbp-Pq: Name remove-conflicting-python-file.patch

[PATCH] af-packet: fix build on recent Linux kernels

Gbp-Pq: Name import-sockio-h.patch

Add --with-ebpf-includes parameter

Gbp-Pq: Name with-ebpf-includes.patch

configure: Introduce CLANG variable

Gbp-Pq: Name configure-clang-variable.patch

do not clean vendor directory on distclean

Last-Update: 2018-12-26

dh_auto_clean calls make distclean, which in the case of Suricata also
removes the vendor directory. This breaks repeated builds.

Gbp-Pq: Name fix-repeated-builds.patch

Don't use __USE_GNU

__USE_GNU is a glibc-internal symbol.
AC_USE_SYSTEM_EXTENSIONS is the proper autoconf
way to enable extensions.

Gbp-Pq: Name no-use-gnu.patch

cross

Gbp-Pq: Name cross.patch

Debian default configuration This patch sets Debian defaults for suricata configuration. . Currently, it sets a proper path for suricata unix socket.

Forwarded: not-needed
Last-Update: 2016-12-01

Gbp-Pq: Name debian-default-cfg.patch

Patch to make the suricata build reproducible This patch makes some changes to the suricata build to make it reproducible . Currently, it only filters out the -fdebug-prefix-map CFLAG which embeds the build path.

Forwarded: not-needed
Last-Update: 2016-09-05

Gbp-Pq: Name reproducible.patch

suricata (1:6.0.1-3+deb11u1) bullseye-security; urgency=medium

  * Non-maintainer upload by the LTS Team.
  * CVE-2021-45098
    Fix bypass of HTTP-based signature by faking an RST TCP packet.
  * CVE-2023-35852
    Fix unintended file access in local filesystem.
  * CVE-2024-32663
    Fix using large amount of memory.
  * CVE-2024-37151
    Fix mishandling of multiple fragmented packets, which might lead to
    policy bypass.
  * CVE-2024-45796
    Fix logic error during fragment reassembly.
  * CVE-2025-29918
    Fix infinite loop.
  * CVE-2024-55626
    Fix buffer overflow due to large BPF filter file.

[dgit import unpatched suricata 1:6.0.1-3+deb11u1]

Import suricata_6.0.1-3+deb11u1.debian.tar.xz

[dgit import tarball suricata 1:6.0.1-3+deb11u1 suricata_6.0.1-3+deb11u1.debian.tar.xz]

Merge suricata (1:6.0.1-3) import into refs/heads/workingbranch

[PATCH] stream/tcp: don't reject on bad ack

Not using a packet for the streaming analysis when a non zero
ACK value and ACK bit was unset was leading to evasion as it was
possible to start a session with a SYN packet with a non zero ACK
value to see the full TCP stream to escape all stream and application
layer detection.

This addresses CVE-2021-35063.

Fixes: fa692df37 ("stream: reject broken ACK packets")
Ticket: #4504.

Gbp-Pq: Name stream-no-reject-bad-ack.patch

llc

Gbp-Pq: Name llc.patch

[PATCH] ebpf: avoid to include if_tunnel.h

This is causing a dependency issue as file from another architecture
have to be installed.

Gbp-Pq: Name avoid-to-include-if_tunnel-h.patch

do not install the suricata Python module

Bug: https://redmine.openinfosecfoundation.org/issues/3156
Last-Update: 2019-09-18

Suricata's Python tools only import submodules of 'suricata'. Not installing
this module ensures that there is no chance of having an __init__.py in the
root module directory that might clash with other packages, e.g. suricata-
update.

Gbp-Pq: Name remove-conflicting-python-file.patch

[PATCH] af-packet: fix build on recent Linux kernels

Gbp-Pq: Name import-sockio-h.patch

Add --with-ebpf-includes parameter

Gbp-Pq: Name with-ebpf-includes.patch

configure: Introduce CLANG variable

Gbp-Pq: Name configure-clang-variable.patch

do not clean vendor directory on distclean

Last-Update: 2018-12-26

dh_auto_clean calls make distclean, which in the case of Suricata also
removes the vendor directory. This breaks repeated builds.

Gbp-Pq: Name fix-repeated-builds.patch

Don't use __USE_GNU

__USE_GNU is a glibc-internal symbol.
AC_USE_SYSTEM_EXTENSIONS is the proper autoconf
way to enable extensions.

Gbp-Pq: Name no-use-gnu.patch

cross

Gbp-Pq: Name cross.patch

Debian default configuration This patch sets Debian defaults for suricata configuration. . Currently, it sets a proper path for suricata unix socket.

Forwarded: not-needed
Last-Update: 2016-12-01

Gbp-Pq: Name debian-default-cfg.patch

Patch to make the suricata build reproducible This patch makes some changes to the suricata build to make it reproducible . Currently, it only filters out the -fdebug-prefix-map CFLAG which embeds the build path.

Forwarded: not-needed
Last-Update: 2016-09-05

Gbp-Pq: Name reproducible.patch

suricata (1:6.0.1-3) unstable; urgency=medium

  * Address CVE-2021-35063 by backporting upstream fix.
Closes: #990835
[dgit import unpatched suricata 1:6.0.1-3]

Import suricata_6.0.1-3.debian.tar.xz

[dgit import tarball suricata 1:6.0.1-3 suricata_6.0.1-3.debian.tar.xz]

llc

Gbp-Pq: Name llc.patch

[PATCH] ebpf: avoid to include if_tunnel.h

This is causing a dependency issue as file from another architecture
have to be installed.

Gbp-Pq: Name avoid-to-include-if_tunnel-h.patch

do not install the suricata Python module

Bug: https://redmine.openinfosecfoundation.org/issues/3156
Last-Update: 2019-09-18

Suricata's Python tools only import submodules of 'suricata'. Not installing
this module ensures that there is no chance of having an __init__.py in the
root module directory that might clash with other packages, e.g. suricata-
update.

Gbp-Pq: Name remove-conflicting-python-file.patch

[PATCH] af-packet: fix build on recent Linux kernels

Gbp-Pq: Name import-sockio-h.patch

Add --with-ebpf-includes parameter

Gbp-Pq: Name with-ebpf-includes.patch

configure: Introduce CLANG variable

Gbp-Pq: Name configure-clang-variable.patch

do not clean vendor directory on distclean

Last-Update: 2018-12-26

dh_auto_clean calls make distclean, which in the case of Suricata also
removes the vendor directory. This breaks repeated builds.

Gbp-Pq: Name fix-repeated-builds.patch

Don't use __USE_GNU

__USE_GNU is a glibc-internal symbol.
AC_USE_SYSTEM_EXTENSIONS is the proper autoconf
way to enable extensions.

Gbp-Pq: Name no-use-gnu.patch

cross

Gbp-Pq: Name cross.patch

Debian default configuration This patch sets Debian defaults for suricata configuration. . Currently, it sets a proper path for suricata unix socket.

Forwarded: not-needed
Last-Update: 2016-12-01

Gbp-Pq: Name debian-default-cfg.patch

Patch to make the suricata build reproducible This patch makes some changes to the suricata build to make it reproducible . Currently, it only filters out the -fdebug-prefix-map CFLAG which embeds the build path.

Forwarded: not-needed
Last-Update: 2016-09-05

Gbp-Pq: Name reproducible.patch

suricata (1:6.0.1-2) unstable; urgency=medium

  * Also specify explicit separate '-latomic' reference on mipsel.
    This addresses a remaining FTBFS there.

[dgit import unpatched suricata 1:6.0.1-2]

Import suricata_6.0.1-2.debian.tar.xz

[dgit import tarball suricata 1:6.0.1-2 suricata_6.0.1-2.debian.tar.xz]

Import suricata_6.0.1.orig.tar.xz

[dgit import orig suricata_6.0.1.orig.tar.xz]

Import suricata_6.0.1.orig.tar.xz

[dgit import orig suricata_6.0.1.orig.tar.xz]