CVE-2025-53538

From 97eee2cadacf3423a1ebcdd1943a7a7917f5cc56 Mon Sep 17 00:00:00 2001
# Subject: [PATCH] http2: forbid data on stream 0

# Subject: [PATCH] http2: forbid data on stream 0

Ticket: 7658

Suricata will not handle well if we open a file for this tx,
do not close it, but set the transaction state to completed.

RFC 9113 section 6.1 states:

If a DATA frame is received whose Stream Identifier field is 0x00,
the recipient MUST respond with a connection error (Section 5.4.1)
 of type PROTOCOL_ERROR.

(cherry picked from commit 1d6d331752e933c46aca0ae7a9679b27462246e3)

Origin: upstream, https://github.com/OISF/suricata/commit/97eee2cadacf3423a1ebcdd1943a7a7917f5cc56.patch
Bug: https://redmine.openinfosecfoundation.org/issues/7659
Bug-Debian: https://bugs.debian.org/1109806
Subject: Upstream fix for CVE-2025-53538

Gbp-Pq: Name CVE-2025-53538.patch

llc

Gbp-Pq: Name llc.patch

[PATCH] ebpf: avoid to include if_tunnel.h

This is causing a dependency issue as file from another architecture
have to be installed.

Gbp-Pq: Name avoid-to-include-if_tunnel-h.patch

[PATCH] af-packet: fix build on recent Linux kernels

Gbp-Pq: Name import-sockio-h.patch

Add --with-ebpf-includes parameter

Gbp-Pq: Name with-ebpf-includes.patch

configure: Introduce CLANG variable

Gbp-Pq: Name configure-clang-variable.patch

do not clean vendor directory on distclean

Last-Update: 2018-12-26

dh_auto_clean calls make distclean, which in the case of Suricata also
removes the vendor directory. This breaks repeated builds.

Gbp-Pq: Name fix-repeated-builds.patch

Don't use __USE_GNU

__USE_GNU is a glibc-internal symbol.
AC_USE_SYSTEM_EXTENSIONS is the proper autoconf
way to enable extensions.

Gbp-Pq: Name no-use-gnu.patch

cross

Gbp-Pq: Name cross.patch

Debian default configuration This patch sets Debian defaults for suricata configuration. . Currently, it sets a proper path for suricata unix socket.

Forwarded: not-needed
Last-Update: 2016-12-01

Gbp-Pq: Name debian-default-cfg.patch

Patch to make the suricata build reproducible This patch makes some changes to the suricata build to make it reproducible . Currently, it only filters out the -fdebug-prefix-map CFLAG which embeds the build path.

Forwarded: not-needed
Last-Update: 2016-09-05

Gbp-Pq: Name reproducible.patch

suricata (1:7.0.10-1+deb13u3) trixie; urgency=medium

  * Fix CVE-2026-22258 in 7.0.10.
    Cherry-Picked from:
    * f82a388d0283725cb76782cf64e8341cab370830
    * df389f8a43a06c718bb336ea082d6c80d6fefda0
    * c9b80e5affe073ce9d95d0c935a8d67647c83bf7
  * Fix CVE-2026-22262 in 7.0.10.
    Cherry-Picked from:
    * 32609e6896f9079c175665a94005417cec7637eb
    * 27a2180bceaa3477419c78c54fce364398d011f1
  * Fix CVE-2026-22264 in 7.0.10.
    Cherry-Picked from 5789a3d3760dbf33d93fc56c27bd9529e5bdc8f2.
  * Fix CVE-2026-22259 in 7.0.10.
    Cherry-Picked from:
    * 63225d5f8ef64cc65164c0bb1800730842d54942
    * 635af8dc8be09667689be71d781912718ca1aa49
    * fdd79bdb14488244604729f1d68ca4bc60000dbd
    * a6d950315d9b6c1e35c10c24d9bb7128d422c21f
    With this fix, DNP3 has reduced the default maximum number of
    outstanding transactions from 500 down to 32.
    Read the update instructions for Suricata 7.0.14 for more details.
  * Fix CVE-2026-22261 in 7.0.10.
    Cherry-Picked from:
    * 44d0c81f537f230e9215c769453fb4d7214217a1
    * 7e704a3f50690b5f5d5cc573147ef41449fe37ac

[dgit import unpatched suricata 1:7.0.10-1+deb13u3]

Import suricata_7.0.10-1+deb13u3.debian.tar.xz

[dgit import tarball suricata 1:7.0.10-1+deb13u3 suricata_7.0.10-1+deb13u3.debian.tar.xz]

Import suricata_7.0.10.orig.tar.xz

[dgit import orig suricata_7.0.10.orig.tar.xz]