patchbomb-ambiguous-address

# HG changeset patch
# User Raphaël Gomès <rgomes@octobus.net>
# Date 1729684194 -7200
#      Wed Oct 23 13:49:54 2024 +0200
# Branch stable
# Node ID d906406658a947ab64b34302df15be21e928ba24
# Parent  e760a36a601336f75016e5c2bbc5a53da2ea7182
patchbomb: don't test ambiguous address

This is a bug in Python's `email` package and shouldn't be relied on.
Python 3.12 has fixed this problem¹ and raises an exception. We keep the
multiple `-t` because this is still relevant for testing.

[1] https://github.com/python/cpython/issues/102988
[2] https://docs.python.org/3/whatsnew/changelog.html

Gbp-Pq: Name patchbomb-ambiguous-address.patch

CVE-2025-2361

# HG changeset patch
# User Raphaël Gomès <rgomes@octobus.net>
# Date 1742340720 -3600
#      Wed Mar 19 00:32:00 2025 +0100
# Branch stable
# Node ID a5c72ed2929341d97b11968211c880854803f003
# Parent  74439d1cbebaa9ff8f8300e37e93b42e6d381be4
hgweb: fix XSS vulnerability in hgweb (CVE-2025-2361)

818598f5bc8b91 is the change that introduced the vulnerability (in 2006!)
that was disclosed to us, but I found a similar pattern in other places
in the code.

Since XSS escaping is actually hard and that would mean vendoring some
better sanitation tool, I decided to simply remove user input from any
HTML output in hgweb, hopefully in all places.

Gbp-Pq: Name CVE-2025-2361.patch

tests: make test-archive.t pass on py3.9 (issue6504)

Something got stricter at parsing URL query parameters and now the
parameters need to be separated by "&"; ";" is no longer allowed. See
issue6504 for details.

Differential Revision: https://phab.mercurial-scm.org/D10472

Origin: upstream, https://www.mercurial-scm.org/repo/hg/rev/dc8976cc3a6e
Bug-Debian: https://bugs.debian.org/986514
Bug-upstream: https://bz.mercurial-scm.org/show_bug.cgi?id=6504

Gbp-Pq: Name python-3.9.2.patch

Tolerate SIGINT getting the kill in test-stdio.py.

Forwarded: https://bz.mercurial-scm.org/show_bug.cgi?id=6402

Gbp-Pq: Name 0005-Tolerate-SIGINT-getting-the-kill-in-test-stdio.py.patch

Disabled hginstallscripts @LIBDIR@ replacement in setup.py.

Bug-Debian: http://bugs.debian.org/620087
Bug-Ubuntu: https://bugs.launchpad.net/bugs/745250
Forwarded: not-needed

setup.py replaces @LIBDIR@ in the hg script, with a path that differs between
Python versions.
libdir in hg doesn't need to be set if mercurial is available in the public
namespace, as it is in Debian.
hg doesn't alter sys.paths if this replacement hasn't happened.

Gbp-Pq: Name deb_specific__disable_libdir_replacement.patch

deb_specific__optional-dependencies

Suggest Debian packages for some optional dependencies.

Gbp-Pq: Name deb_specific__optional-dependencies

deb_specific__hgk.py

Set default hgk path for hgk outside bin.

Gbp-Pq: Name deb_specific__hgk.py.patch

proposed_upstream__doctest.path

# HG changeset patch
# User Julien Cristau <jcristau@debian.org>
# Date 1589916203 -7200
#      Tue May 19 21:23:23 2020 +0200
# Node ID de789b6b188b62cf38c5c5cfe760cff9a48c52f5
# Parent  3b7aabd02e11fcfc015b3a90a0c52d971a7b8a83
test: make test-doctest.py work when it's not run from a mercurial repo

This assumption fails when building and running tests from a source
tarball, e.g.

Differential Revision: https://phab.mercurial-scm.org/D8571

Gbp-Pq: Name proposed_upstream__doctest.path

from_upstream-test-subrepo-new-git

# HG changeset patch
# User Martin von Zweigbergk <martinvonz@google.com>
# Date 1610501528 28800
#      Tue Jan 12 17:32:08 2021 -0800
# Node ID 88dfe1c279bb3378cf25c654a9346e570dff3b0f
# Parent  fcc324a228fee148726ec8075c75cd8e2ae7b14a
tests: make test-subrepo-git.t compatible with git's master->main rename

Git is about to change the default branch from "master" to
"main". Recent versions has started warning about that, which makes
tests fail. I assume the tests would fail in a different way once the
default has changed. To make us compatible with that name change,
let's set configure the default to be "master". That value makes the
tests still work on older Git version (those where the default branch
name is not configurable).

Differential Revision: https://phab.mercurial-scm.org/D9746

Gbp-Pq: Name from_upstream-test-subrepo-new-git.patch

mercurial (5.6.1-4+deb11u1) bullseye-security; urgency=medium

  * Non-maintainer upload by the Debian LTS Security Team.

  [ Andreas Henriksson ]
  * Cherry-pick and massage bookworm (stable) patches by jcristau to apply
    on bullseye version of the package.

  [ Julien Cristau ]
  * CVE-2025-2361: reflected XSS in hgweb (closes: #1100899)
  * patchbomb: don't test ambiguous address
    (fixes FTBFS after python's fix for CVE-2023-27043).

[dgit import unpatched mercurial 5.6.1-4+deb11u1]

Import mercurial_5.6.1-4+deb11u1.debian.tar.xz

[dgit import tarball mercurial 5.6.1-4+deb11u1 mercurial_5.6.1-4+deb11u1.debian.tar.xz]

Import mercurial_5.6.1.orig.tar.gz

[dgit import orig mercurial_5.6.1.orig.tar.gz]