2017年にprocmailを使用しても安全ですか?

28

procmail Webサイト(http://www.procmail.org/)がダウンしていることを発見しました。私はそのステータスについていくつか調査しましたが、2001年以降、procmailの開発は死んでいるようです。古いprocmailのメンテナでさえ、コードが安全でないため(https://marc.info/? l = openbsd-ports&m = 141634350915839&w = 2)。修正されていないバグにより、リモートでコードが実行される可能性があるため、これは少し怖いです。最近のLinuxディストリビューション(Ubuntu、Debianなど)はまだ提供していますが、procmailを使用しても安全ですか?

email  procmail 
ジュミン
ソース
4
原則として、何年もメンテナンスされていないパッケージを使用しないことを好みます。
マット

回答:

31

Procmailがしばらくメンテナンスされていないことは確かです。最後のメンテナは、MaildropやSieveなどの代替ツールの使用を提案しています。

多くのディストリビューションがこれを実際のセキュリティリスクと見なしていない理由には、次のものがあります。

  • ディストリビューションは、元のソフトウェアの実際の開発者に関係なく、独自のセキュリティパッチを公開する場合があります。彼らはそうします
  • 処理中のメールは、いくつかの構文およびコンテンツチェックとスパムフィルタリングを含むMTA全体に既に合格しています。Procmail MDAがメッセージを置く場所を決定するために比較するヘッダーに脆弱性を引き起こす可能性があるものはほとんどありません。
  • 通常、Procmailが実行するタスクは非常に簡単です。

だから、はい、いいえ。環境に懸念がある場合は、代替手段があります。

エサ・ヨキネン
ソース
7
ありがとう、これは役に立ちました!procmailパッケージのDebianの変更ログを確認しましたが、実際には2001年以降、かなりの数のセキュリティパッチがあります。それらのいくつかはかなり怖いです。たとえば、不正なヘッダーでオーバーフローします。そのため、ディストリビューションによっては、まだサポートされているようです。
-JooMing
これが実際の主な理由なので、理由の順序を調整しました。
エサヨキネン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.