Sử dụng procmail trong năm 2017 có an toàn không?

Tôi mới phát hiện ra rằng trang web procmail ( http://www.procmail.org/ ) không hoạt động. Tôi đã thực hiện một số nghiên cứu về tình trạng của nó và có vẻ như sự phát triển của procmail đã chết từ năm 2001. Ngay cả người bảo trì procmail cũ cũng khuyên bạn nên xóa nó khỏi các cổng openbsd vì mã không an toàn ( https://marc.info/? l = openbsd-cổng & m = 141634350915839 & w = 2 ). Điều này hơi đáng sợ, bởi vì các lỗi không được trộn có thể dẫn đến việc khai thác thực thi mã từ xa. Các bản phân phối Linux gần đây (ví dụ Ubuntu, Debian) vẫn cung cấp nó, nhưng liệu có an toàn khi sử dụng procmail không?

Bạn đã đúng rằng Procmail đã không được duy trì trong một thời gian và những người bảo trì cuối cùng của nó đề nghị sử dụng các công cụ thay thế như Maildrop hoặc Sàng.

Những lý do khiến nhiều bản phân phối chưa xem đây là rủi ro bảo mật thực sự bao gồm:

• Các bản phân phối có thể xuất bản các bản vá bảo mật của riêng họ bất kể các nhà phát triển thực sự của phần mềm gốc. Họ làm .
• Thư được xử lý đã vượt qua toàn bộ MTA bao gồm một số kiểm tra cú pháp và nội dung và lọc thư rác. Không có khả năng sẽ có bất cứ điều gì có thể gây ra lỗ hổng trong các tiêu đề Procmail MDA so sánh để quyết định nơi đặt tin nhắn.
• Các tác vụ Procmail thường thực hiện khá đơn giản.

Vì vậy, có và không. Nếu bạn có bất kỳ mối quan tâm trong môi trường của bạn, bạn có lựa chọn thay thế.