Merge version 0.33-3.3+deb9u1+rpi1 and 0.33-3.3+deb9u2 to produce 0.33-3.3+deb9u2+rpi1

Merge spice-gtk (0.33-3.3+deb9u2) import into refs/heads/workingbranch

[PATCH] quic: Avoid possible buffer overflow in find_bucket

Proved by fuzzing the code.

Signed-off-by: Frediano Ziglio <freddy77@gmail.com>
Acked-by: Uri Lublin <uril@redhat.com>
Gbp-Pq: Name CVE-2020-14355_part4.patch

[PATCH] quic: Check RLE lengths

Avoid buffer overflows decoding images. On compression we compute
lengths till end of line so it won't cause regressions.
Proved by fuzzing the code.

Signed-off-by: Frediano Ziglio <freddy77@gmail.com>
Acked-by: Uri Lublin <uril@redhat.com>
Gbp-Pq: Name CVE-2020-14355_part3.patch

[PATCH] quic: Check image size in quic_decode_begin

Avoid some overflow in code due to images too big or
negative numbers.

Signed-off-by: Frediano Ziglio <freddy77@gmail.com>
Acked-by: Uri Lublin <uril@redhat.com>
Gbp-Pq: Name CVE-2020-14355_part2.patch

[PATCH] quic: Check we have some data to start decoding quic image

All paths already pass some data to quic_decode_begin but for the
test check it, it's not that expensive test.
Checking for not 0 is enough, all other words will potentially be
read calling more_io_words but we need one to avoid a potential
initial buffer overflow or deferencing an invalid pointer.

Signed-off-by: Frediano Ziglio <freddy77@gmail.com>
Acked-by: Uri Lublin <uril@redhat.com>
Gbp-Pq: Name CVE-2020-14355_part1.patch

Fix flexible array buffer overflow

Origin: https://gitlab.freedesktop.org/spice/spice-common/commit/bb15d4815ab586b4c4a20f4a565970a44824c42c
Bug-Debian-Security: https://security-tracker.debian.org/tracker/CVE-2018-10873
Bug-Debian: https://bugs.debian.org/906316

This is kind of a DoS, possibly flexible array in the protocol
causes the network size check to be ignored due to integer overflows.

The size of flexible array is computed as (message_end - position),
then this size is added to the number of bytes before the array and
this number is used to check if we overflow initial message.

An example is:

    message {
        uint32 dummy[2];
        uint8 data[] @end;
    } LenMessage;

which generated this (simplified remove useless code) code:

    { /* data */
        data__nelements = message_end - (start + 8);

        data__nw_size = data__nelements;
    }

    nw_size = 8 + data__nw_size;

    /* Check if message fits in reported side */
    if (nw_size > (uintptr_t) (message_end - start)) {
        return NULL;
    }

Following code:
- data__nelements == message_end - (start + 8)
- data__nw_size == data__nelements == message_end - (start + 8)
- nw_size == 8 + data__nw_size == 8 + message_end - (start + 8) ==
  8 + message_end - start - 8 == message_end -start
- the check for overflow is (nw_size > (message_end - start)) but
  nw_size == message_end - start so the check is doing
  ((message_end - start) > (message_end - start)) which is always false.

If message_end - start < 8 then data__nelements (number of element
on the array above) computation generate an integer underflow that
later create a buffer overflow.

Add a check to make sure that the array starts before the message ends
to avoid the overflow.

Signed-off-by: Frediano Ziglio <fziglio@redhat.com>
Signed-off-by: Christophe Fergeau <cfergeau@redhat.com>
[Salvatore Bonaccorso: Drop generated diff from commit messages causing
 problem when applying with quilt. Remove addition to testsuite]

Gbp-Pq: Name Fix-flexible-array-buffer-overflow.patch

ssl: Use accessors rather than direct struct access

In OpenSSL 1.1.0, the struct fields are private so we can no longer
directly access them.

The accessors are not available in previous OpenSSL releases, so we need
to add compat helpers.

Gbp-Pq: Name ssl-Use-accessors-rather-than-direct-struct-access.patch

ssl: Rework our custom BIO type

This commit changes to an actual new BIO method rather than reusing an
existing BIO method, and overriding only the fields that we need.
The approach before this commit would be causing issues with OpenSSL
1.1.0 as some of the fields we access have become opaque.

Gbp-Pq: Name ssl-Rework-our-custom-BIO-type.patch

ssl: Stop creating our own X509_LOOKUP_METHOD

OpenSSL 1.1.0 does not seem to provide API to do that anymore.

There is no need to create a custom lookup to begin with. This method
here has no callbacks implemented and is doing nothing. The way I
understand it, it is used to retrieve a `lookup' object which provides a
certificate store.  The SSL ctx provides also such a store.

Acked-by: Christophe Fergeau <cfergeau@redhat.com>
Acked-by: Pavel Grunt <pgrunt@redhat.com>
Gbp-Pq: Name ssl-Stop-creating-our-own-X509_LOOKUP_METHOD.patch

debian_843471-clipboard_Fix_crash_by_handling_error

commit 03c016bea939ee4a26e90d80fa1012a993a8ea47
Author: Victor Toso <me@victortoso.com>
Origin: upstream, https://cgit.freedesktop.org/spice/spice-gtk/commit/?id=03c016bea939ee4a26e90d80fa1012a993a8ea47
Bug-Debian: https://bugs.debian.org/843471
Date:   Fri Oct 14 18:12:01 2016 +0200

    clipboard: Fix crash by handling error

    As manual states below, text could be NULL for different reasons and
    we should handle that. I've included a debug message to help
    identifying possible regressions from wayland's clipboard.

    This crash is a regression from 7b0de6217670e0f668aff2949f

     "The text parameter to callback will contain the resulting text if
     the request succeeded, or NULL if it failed. This could happen for
     various reasons, in particular if the clipboard was empty or if the
     contents of the clipboard could not be converted into text form."

    Resolves: rhbz#1384676

Signed-off-by: Victor Toso <victortoso@redhat.com>
Acked-by: Pavel Grunt <pgrunt@redhat.com>
Gbp-Pq: Name debian_843471-clipboard_Fix_crash_by_handling_error.patch

explicitly-enable-subdir-objects

When subdir source is included but subdir-objects is not
enabled, automake will throw a warning which will be considered
error by debian build system

Gbp-Pq: Name explicitly-enable-subdir-objects.patch

spice-gtk (0.33-3.3+deb9u2) stretch-security; urgency=high

  * Non-maintainer upload by the LTS Team.
  * Add patch to fix multiple buffer overflow vulnerabilities.
    (Fixes: CVE-2020-14355) (Closes: #971751)

[dgit import unpatched spice-gtk 0.33-3.3+deb9u2]

Import spice-gtk_0.33-3.3+deb9u2.debian.tar.xz

[dgit import tarball spice-gtk 0.33-3.3+deb9u2 spice-gtk_0.33-3.3+deb9u2.debian.tar.xz]

Merge version 0.32-1+rpi1 and 0.33-3.3+deb9u1 to produce 0.33-3.3+deb9u1+rpi1

Merge spice-gtk (0.33-3.3+deb9u1) import into refs/heads/workingbranch

Fix flexible array buffer overflow

This is kind of a DoS, possibly flexible array in the protocol
causes the network size check to be ignored due to integer overflows.

The size of flexible array is computed as (message_end - position),
then this size is added to the number of bytes before the array and
this number is used to check if we overflow initial message.

An example is:

    message {
        uint32 dummy[2];
        uint8 data[] @end;
    } LenMessage;

which generated this (simplified remove useless code) code:

    { /* data */
        data__nelements = message_end - (start + 8);

        data__nw_size = data__nelements;
    }

    nw_size = 8 + data__nw_size;

    /* Check if message fits in reported side */
    if (nw_size > (uintptr_t) (message_end - start)) {
        return NULL;
    }

Following code:
- data__nelements == message_end - (start + 8)
- data__nw_size == data__nelements == message_end - (start + 8)
- nw_size == 8 + data__nw_size == 8 + message_end - (start + 8) ==
  8 + message_end - start - 8 == message_end -start
- the check for overflow is (nw_size > (message_end - start)) but
  nw_size == message_end - start so the check is doing
  ((message_end - start) > (message_end - start)) which is always false.

If message_end - start < 8 then data__nelements (number of element
on the array above) computation generate an integer underflow that
later create a buffer overflow.

Add a check to make sure that the array starts before the message ends
to avoid the overflow.

Signed-off-by: Frediano Ziglio <fziglio@redhat.com>
Signed-off-by: Christophe Fergeau <cfergeau@redhat.com>
[Salvatore Bonaccorso: Drop generated diff from commit messages causing
 problem when applying with quilt. Remove addition to testsuite]

Gbp-Pq: Name Fix-flexible-array-buffer-overflow.patch

ssl: Use accessors rather than direct struct access

In OpenSSL 1.1.0, the struct fields are private so we can no longer
directly access them.

The accessors are not available in previous OpenSSL releases, so we need
to add compat helpers.

Gbp-Pq: Name ssl-Use-accessors-rather-than-direct-struct-access.patch

ssl: Rework our custom BIO type

This commit changes to an actual new BIO method rather than reusing an
existing BIO method, and overriding only the fields that we need.
The approach before this commit would be causing issues with OpenSSL
1.1.0 as some of the fields we access have become opaque.

Gbp-Pq: Name ssl-Rework-our-custom-BIO-type.patch

ssl: Stop creating our own X509_LOOKUP_METHOD

OpenSSL 1.1.0 does not seem to provide API to do that anymore.

There is no need to create a custom lookup to begin with. This method
here has no callbacks implemented and is doing nothing. The way I
understand it, it is used to retrieve a `lookup' object which provides a
certificate store.  The SSL ctx provides also such a store.

Acked-by: Christophe Fergeau <cfergeau@redhat.com>
Acked-by: Pavel Grunt <pgrunt@redhat.com>
Gbp-Pq: Name ssl-Stop-creating-our-own-X509_LOOKUP_METHOD.patch

debian_843471-clipboard_Fix_crash_by_handling_error

commit 03c016bea939ee4a26e90d80fa1012a993a8ea47
Author: Victor Toso <me@victortoso.com>
Origin: upstream, https://cgit.freedesktop.org/spice/spice-gtk/commit/?id=03c016bea939ee4a26e90d80fa1012a993a8ea47
Bug-Debian: https://bugs.debian.org/843471
Date:   Fri Oct 14 18:12:01 2016 +0200

    clipboard: Fix crash by handling error

    As manual states below, text could be NULL for different reasons and
    we should handle that. I've included a debug message to help
    identifying possible regressions from wayland's clipboard.

    This crash is a regression from 7b0de6217670e0f668aff2949f

     "The text parameter to callback will contain the resulting text if
     the request succeeded, or NULL if it failed. This could happen for
     various reasons, in particular if the clipboard was empty or if the
     contents of the clipboard could not be converted into text form."

    Resolves: rhbz#1384676

Signed-off-by: Victor Toso <victortoso@redhat.com>
Acked-by: Pavel Grunt <pgrunt@redhat.com>
Gbp-Pq: Name debian_843471-clipboard_Fix_crash_by_handling_error.patch

explicitly-enable-subdir-objects

When subdir source is included but subdir-objects is not
enabled, automake will throw a warning which will be considered
error by debian build system

Gbp-Pq: Name explicitly-enable-subdir-objects.patch

spice-gtk (0.33-3.3+deb9u1) stretch; urgency=medium

  * Non-maintainer upload.
  * Fix flexible array buffer overflow (CVE-2018-10873) (Closes: #906316)

[dgit import unpatched spice-gtk 0.33-3.3+deb9u1]

Import spice-gtk_0.33-3.3+deb9u1.debian.tar.xz

[dgit import tarball spice-gtk 0.33-3.3+deb9u1 spice-gtk_0.33-3.3+deb9u1.debian.tar.xz]

Import spice-gtk_0.33.orig.tar.bz2

[dgit import orig spice-gtk_0.33.orig.tar.bz2]

Merge spice-gtk (0.32-1+rpi1) import into refs/heads/workingbranch

explicitly-enable-subdir-objects

When subdir source is included but subdir-objects is not
enabled, automake will throw a warning which will be considered
error by debian build system

Gbp-Pq: Name explicitly-enable-subdir-objects.patch

spice-gtk (0.32-1+rpi1) stretch-staging; urgency=medium

  * Add build-depends on libegl1-mesa-dev.

[dgit import unpatched spice-gtk 0.32-1+rpi1]

Import spice-gtk_0.32-1+rpi1.debian.tar.xz

[dgit import tarball spice-gtk 0.32-1+rpi1 spice-gtk_0.32-1+rpi1.debian.tar.xz]

explicitly-enable-subdir-objects

When subdir source is included but subdir-objects is not
enabled, automake will throw a warning which will be considered
error by debian build system

Gbp-Pq: Name explicitly-enable-subdir-objects.patch

Import spice-gtk_0.32.orig.tar.bz2

[dgit import orig spice-gtk_0.32.orig.tar.bz2]

spice-gtk (0.32-1) unstable; urgency=medium

  * New upstream release
  * Update debian/copyright
  * debian/control:
    - Update Build-Depends libglib2.0-dev and libspice-protocol-dev
      version required
    - Remove Build-Depends on libgtk2.0-dev
    - Bump Standards-Version to 3.9.8 (no changes)
    - Use secure uri in vcs-*
  * Remove libspice-client-gtk-2.0-* and python-spice-client-gtk,
    upstream don't support gtk2 anymore
  * Refresh explicitly-enable-subdir-objects.patch
  * Bump SONAME and package name of libspice-client-gtk-3.0

[dgit import unpatched spice-gtk 0.32-1]

Import spice-gtk_0.32-1.debian.tar.xz

[dgit import tarball spice-gtk 0.32-1 spice-gtk_0.32-1.debian.tar.xz]