keep nodejs compatible with libc-ares public headers

Forwarded: not-needed
Last-Update: 2021-10-20

Gbp-Pq: Topic deps
Gbp-Pq: Name cares.patch

adapt tools/test.py

Forwarded: not-needed
Reviewed-By: Xavier Guimard <yadd@debian.org>
Last-Update: 2025-02-12

* log to stdout
* increase timeout multipliers
* rename --flaky-tests to --flaky-tests-mode and use --flaky-tests like --skip-tests

Gbp-Pq: Topic build
Gbp-Pq: Name test_ci.patch

Link to -latomic by default

Last-Update: 2019-10-25
Forwarded: not-needed
Bug: https://github.com/nodejs/node/pull/28532
Bug: https://github.com/nodejs/node/issues/30093

This avoids surprises on mips*el/ppc*el

Gbp-Pq: Topic build
Gbp-Pq: Name flag_atomic.patch

build doc using marked and js-yaml

Forwarded: not-needed
Reviewed-By: Xavier Guimard <yadd@debian.org>
Last-Update: 2021-03-03

While waiting for unified/remarked/rehyped modules to be available in debian

Gbp-Pq: Topic build
Gbp-Pq: Name doc.patch

disable shared builtins when loading deps on demand

Last-Update: 2023-12-10
Forwarded: no, todo

This is to avoid preloading potentially missing files.

Gbp-Pq: Topic build
Gbp-Pq: Name builtins_module_paths_not_shareable.patch

add acorn, walk to shared builtins

Last-Update: 2022-09-28
Forwarded: https://github.com/nodejs/node/pull/44376

Gbp-Pq: Topic build
Gbp-Pq: Name more_shareable_builtins.patch

nodejs (20.19.2+dfsg-1+deb13u1) trixie-security; urgency=medium

  * Upstream security patches:
    + CVE-2025-23085: follow-up fix wrong check for NGHTTP2_GOAWAY
    + CVE-2026-21637: TLS error handling allows remote attackers to
      crash or exhaust resources of a TLS server when `pskCallback`
      or `ALPNCallback` are in use.
    + CVE-2025-59465: malformed `HTTP/2 HEADERS` frame with oversized
      invalid `HPACK` data can cause a crash.
    + CVE-2025-55132: permission model allows a file's access and
      modification timestamps to be changed via `futimes()` even when
      the process has only read permissions.
    + CVE-2025-55130: permissions model allows attackers to bypass
      `--allow-fs-read` and `--allow-fs-write` restrictions using
      crafted relative symlink paths.
    + CVE-2025-59466: "Maximum call stack size exceeded" errors become
      uncatchable when `async_hooks.createHook()` is enabled.
    + CVE-2025-55131: buffer allocation logic can expose uninitialized
      memory when allocations are interrupted, when using the `vm` module
      with the timeout option.
  * Upstream critical fixes (see sec/NN patches)
    + zlib: fix pointer alignment (10)
    + os: fix GetInterfaceAddresses memory leak (15)
    + src: fix possible dereference of null pointers (17, 29)
    + v8: fix missing callback in heap utils destroy (19)
    + v8: loong64 - avoid memory access under stack pointer (27)
    + http2: do not crash on mismatched ping buffer length (28)
    + v8: riscv64 - Fix sp handling in MacroAssembler::LeaveFrame (44)

[dgit import unpatched nodejs 20.19.2+dfsg-1+deb13u1]

Import nodejs_20.19.2+dfsg-1+deb13u1.debian.tar.xz

[dgit import tarball nodejs 20.19.2+dfsg-1+deb13u1 nodejs_20.19.2+dfsg-1+deb13u1.debian.tar.xz]

Import nodejs_20.19.2+dfsg.orig.tar.xz

[dgit import orig nodejs_20.19.2+dfsg.orig.tar.xz]

Import nodejs_20.19.2+dfsg.orig-ada.tar.xz

[dgit import orig nodejs_20.19.2+dfsg.orig-ada.tar.xz]

Import nodejs_20.19.2+dfsg.orig-types-node.tar.xz

[dgit import orig nodejs_20.19.2+dfsg.orig-types-node.tar.xz]