CVE-2025-53538

From 97eee2cadacf3423a1ebcdd1943a7a7917f5cc56 Mon Sep 17 00:00:00 2001
# Subject: [PATCH] http2: forbid data on stream 0

# Subject: [PATCH] http2: forbid data on stream 0

Ticket: 7658

Suricata will not handle well if we open a file for this tx,
do not close it, but set the transaction state to completed.

RFC 9113 section 6.1 states:

If a DATA frame is received whose Stream Identifier field is 0x00,
the recipient MUST respond with a connection error (Section 5.4.1)
 of type PROTOCOL_ERROR.

(cherry picked from commit 1d6d331752e933c46aca0ae7a9679b27462246e3)

Origin: upstream, https://github.com/OISF/suricata/commit/97eee2cadacf3423a1ebcdd1943a7a7917f5cc56.patch
Bug: https://redmine.openinfosecfoundation.org/issues/7659
Bug-Debian: https://bugs.debian.org/1109806
Subject: Upstream fix for CVE-2025-53538

Gbp-Pq: Name CVE-2025-53538.patch

llc

Gbp-Pq: Name llc.patch

[PATCH] ebpf: avoid to include if_tunnel.h

This is causing a dependency issue as file from another architecture
have to be installed.

Gbp-Pq: Name avoid-to-include-if_tunnel-h.patch

[PATCH] af-packet: fix build on recent Linux kernels

Gbp-Pq: Name import-sockio-h.patch

Add --with-ebpf-includes parameter

Gbp-Pq: Name with-ebpf-includes.patch

configure: Introduce CLANG variable

Gbp-Pq: Name configure-clang-variable.patch

do not clean vendor directory on distclean

Last-Update: 2018-12-26

dh_auto_clean calls make distclean, which in the case of Suricata also
removes the vendor directory. This breaks repeated builds.

Gbp-Pq: Name fix-repeated-builds.patch

Don't use __USE_GNU

__USE_GNU is a glibc-internal symbol.
AC_USE_SYSTEM_EXTENSIONS is the proper autoconf
way to enable extensions.

Gbp-Pq: Name no-use-gnu.patch

cross

Gbp-Pq: Name cross.patch

Debian default configuration This patch sets Debian defaults for suricata configuration. . Currently, it sets a proper path for suricata unix socket.

Forwarded: not-needed
Last-Update: 2016-12-01

Gbp-Pq: Name debian-default-cfg.patch

Patch to make the suricata build reproducible This patch makes some changes to the suricata build to make it reproducible . Currently, it only filters out the -fdebug-prefix-map CFLAG which embeds the build path.

Forwarded: not-needed
Last-Update: 2016-09-05

Gbp-Pq: Name reproducible.patch

suricata (1:7.0.10-1+deb13u2) trixie; urgency=medium

  * Fix CVE-2025-64344 in 7.0.10.
    Cherry-Picked from upstream a7ff4c9ba53009680c7cd128b16c28d0aeda9886.
  * Fix CVE-2025-64333 in 7.0.10.
    Cherry-Picked from upstream 4b1d284bb57219b6677a8bda5cdc14a24a6aa22d.
  * Fix CVE-2025-64332 in 7.0.10.
    Cherry-Picked from upstream f67d72702a2601d0a86ac1450686e70d7176f629.
  * Fix CVE-2025-64331 in 7.0.10.
    Cherry-Picked from upstream 5abf9b81e78476f49ab074f3a74b5840747cd069.
    Added missing function declaration and refreshed patch by quilt.
  * Fix CVE-2025-64330 in 7.0.10.
    Cherry-Picked from upstream 5d6c24cc2ce6a390c0956b7ecb2c5efc47e72abc.

[dgit import unpatched suricata 1:7.0.10-1+deb13u2]

Import suricata_7.0.10-1+deb13u2.debian.tar.xz

[dgit import tarball suricata 1:7.0.10-1+deb13u2 suricata_7.0.10-1+deb13u2.debian.tar.xz]

Import suricata_7.0.10.orig.tar.xz

[dgit import orig suricata_7.0.10.orig.tar.xz]