Fix crash when parsing malformed url reference

The parsing did not check for end of input.

Change-Id: I56a478877d242146395977b767511425d2b8ced1
Reviewed-by: Lars Knoll <lars.knoll@qt.io>
Gbp-Pq: Name CVE-2018-19869.patch

Fix possible heap corruption in QXmlStream

The value of 'tos' at the check might already be on the last element,
so triggering stack expansion on the second last element is too late.

Change-Id: Ib3ab2662d4d27a71effe9e988b9e172923af2908
Reviewed-by: Richard J. Moore <rich@kde.org>
Reviewed-by: Thiago Macieira <thiago.macieira@intel.com>
Gbp-Pq: Name CVE-2018-15518.patch

replace_timestamps_with_fixed_date_in_qhelpgenerator

 [1] https://codereview.qt-project.org/#/c/106296/
Author: Eduard Sanou <dhole@openmailbox.org>

Gbp-Pq: Name replace_timestamps_with_fixed_date_in_qhelpgenerator.patch

plugin_system_for_systemtray

Introduce a plugin system for QSystemTrayIcon. Designed to be used with sni-qt
(https://launchpad.net/sni-qt)

Gbp-Pq: Name plugin_system_for_systemtray.patch

Add qatomic support for AArch64 (aka arm64).

Patch by Mark Salter <msalter@redhat.com>
licensed under BSD:

<https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=735488#195>

This patch is known to not be the most correct way
to implement them, as it seems to be possible to do it in a faster way,
but should work non the less until we can provide something better.

Change-Id: Ib392b27dc54691fd4c2ea9896240ad71fb8128cc

Gbp-Pq: Name aarch64_arm64_qatomic_support.patch

Better handling of invalid font tables

Specifically when reading files with broken cmap tables, we could
get some undeterministic results. We handle this more gracefully
by verifying that the offsets are sane and bailing out early if not.
This replaces the current pattern throughout the font engine for
consistency.

This is a back-port of 4a1e5dbade4bab55f39bd368480dcca9a11e4b38
from Qt 5.

Change-Id: If4172b9ef0808801c8e27ffaad962535afe572ed
Reviewed-by: Thiago Macieira <thiago.macieira@intel.com>
Reviewed-by: Lars Knoll <lars.knoll@theqtcompany.com>
Gbp-Pq: Name Better-handling-of-invalid-font-tables.patch

xmlpatterns_stack_overflow_fix

commit d1b17740ed4d9b1e3c3ad5898bb8259969dc77df
Author: Kamil Rojewski <kamil.rojewski@gmail.com>
Date:   Wed Aug 13 10:38:38 2014 +0200

    fix for stack overflow

    Recursion in item mapping iterator caused a stack
    overflow for large datasets.

    Task-number: QTBUG-40153
    Change-Id: I693798de0ecfd3a920a3dd270172ce7ec3c13d8d
Reviewed-by: Jędrzej Nowacki <jedrzej.nowacki@digia.com>
Gbp-Pq: Name xmlpatterns_stack_overflow_fix.diff

Don't crash on broken GIF images

Broken GIF images could set invalid width and height
values inside the image, leading to Qt creating a null
QImage for it. In that case we need to abort decoding
the image and return an error.

Initial patch by Rich Moore.

Backport of Id82a4036f478bd6e49c402d6598f57e7e5bb5e1e from Qt 5

Task-number: QTBUG-38367
Change-Id: I0680740018aaa8356d267b7af3f01fac3697312a
Security-advisory: CVE-2014-0190

Gbp-Pq: Name dont_crash_on_broken_gif_images.patch

Fix logic for figuring out what ConfigureNotify positions can be trusted

When reading ahead in the queue for ConfigureNotify events, it's necessary
to look for intermediate ReparentNotify events as well, since they will
determine whether the position in the event can be trusted or not.

Bug: https://bugreports.qt.nokia.com/browse/QTBUG-21900

Gbp-Pq: Name QTBUG-21900_Buttons_in_Qt_applications_not_clickable_when_run_under_gnome-shell.patch

Add_support_for_QT_USE_DRAG_DISTANCE_env_var

from QT_USE_DRAG_DISTANCE environment variable.
See also http://bugreports.qt.nokia.com/browse/QTBUG-12594
Author: Joonas Tanskanen <joonas.tanskanen@sasken.com>

Gbp-Pq: Name Add_support_for_QT_USE_DRAG_DISTANCE_env_var.patch

qt4-x11 (4:4.8.7+dfsg-18) unstable; urgency=medium

  * Team upload.

  [ Edward Betts ]
  * debian/NEWS: Replace UNRELEASED with unstable.

  [ Alexander Volkov ]
  * Backport some vulnerability fixes from Qt 5 (closes: #923003).
    - CVE-2018-15518: double free or corruption in QXmlStreamReader.
    - CVE-2018-19869: Qt Svg crash when parsing malformed url reference.
    - CVE-2018-19870: NULL pointer dereference in QGifHandler.
    - CVE-2018-19871: QTgaFile CPU exhaustion.
    - CVE-2018-19872: crash when parsing a malformed PPM image.
    - CVE-2018-19873: QBmpHandler segfault on malformed BMP file.

[dgit import unpatched qt4-x11 4:4.8.7+dfsg-18]

Import qt4-x11_4.8.7+dfsg-18.debian.tar.xz

[dgit import tarball qt4-x11 4:4.8.7+dfsg-18 qt4-x11_4.8.7+dfsg-18.debian.tar.xz]

Import qt4-x11_4.8.7+dfsg.orig.tar.xz

[dgit import orig qt4-x11_4.8.7+dfsg.orig.tar.xz]