Sử dụng procmail trong năm 2017 có an toàn không?


28

Tôi mới phát hiện ra rằng trang web procmail ( http://www.procmail.org/ ) không hoạt động. Tôi đã thực hiện một số nghiên cứu về tình trạng của nó và có vẻ như sự phát triển của procmail đã chết từ năm 2001. Ngay cả người bảo trì procmail cũ cũng khuyên bạn nên xóa nó khỏi các cổng openbsd vì mã không an toàn ( https://marc.info/? l = openbsd-cổng & m = 141634350915839 & w = 2 ). Điều này hơi đáng sợ, bởi vì các lỗi không được trộn có thể dẫn đến việc khai thác thực thi mã từ xa. Các bản phân phối Linux gần đây (ví dụ Ubuntu, Debian) vẫn cung cấp nó, nhưng liệu có an toàn khi sử dụng procmail không?


4
Theo nguyên tắc chung, tôi không thích sử dụng các gói không được duy trì trong nhiều năm.
Matt

Câu trả lời:


31

Bạn đã đúng rằng Procmail đã không được duy trì trong một thời gian và những người bảo trì cuối cùng của nó đề nghị sử dụng các công cụ thay thế như Maildrop hoặc Sàng.

Những lý do khiến nhiều bản phân phối chưa xem đây là rủi ro bảo mật thực sự bao gồm:

  • Các bản phân phối có thể xuất bản các bản vá bảo mật của riêng họ bất kể các nhà phát triển thực sự của phần mềm gốc. Họ làm .
  • Thư được xử lý đã vượt qua toàn bộ MTA bao gồm một số kiểm tra cú pháp và nội dung và lọc thư rác. Không có khả năng sẽ có bất cứ điều gì có thể gây ra lỗ hổng trong các tiêu đề Procmail MDA so sánh để quyết định nơi đặt tin nhắn.
  • Các tác vụ Procmail thường thực hiện khá đơn giản.

Vì vậy, có và không. Nếu bạn có bất kỳ mối quan tâm trong môi trường của bạn, bạn có lựa chọn thay thế.


7
Cảm ơn, điều này rất hữu ích! Tôi đã kiểm tra một thay đổi Debian của gói procmail và thực sự có khá nhiều bản vá bảo mật sau năm 2001. Một số trong số chúng khá đáng sợ. Ví dụ, tràn ra với các tiêu đề không đúng định dạng. Vì vậy, tùy thuộc vào phân phối, nó vẫn xuất hiện để được hỗ trợ.
JooMing

Tôi chỉ điều chỉnh thứ tự của các lý do vì đây là lý do chính thực sự.
Esa Jokinen
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.