在2017年使用procmail安全吗?


28

我刚刚发现procmail网站(http://www.procmail.org/)已关闭。我对其状态进行了一些研究,看来procmail的开发自2001年以来就已经停滞了。即使是老的procmail维护者也建议从openbsd端口中删除它,因为代码不安全(https://marc.info/? l = openbsd-ports&m = 141634350915839&w = 2)。这有点可怕,因为未修复的错误可能导致远程执行代码漏洞。最近的Linux发行版(例如Ubuntu,Debian)仍提供它,但是使用procmail是否仍然安全?


4
通常,我不希望使用多年未维护的软件包。
马特

Answers:


31

您是正确的,因为Procmail已有一段时间没有被维护,它的最后维护者建议使用Maildrop或Sieve之类的替代工具。

许多发行版尚未将其视为真正的安全风险的原因包括:

  • 无论原始软件的实际开发者如何,发行版都可以发布自己的安全补丁。他们做
  • 它正在处理的邮件已经通过了完整的MTA,其中包括几种语法和内容检查以及垃圾邮件过滤。Procmail MDA进行比较以决定将消息放置在何处时,不太可能会触发标头中的漏洞。
  • Procmail通常执行的任务非常简单。

所以,是和不是。如果您的环境中存在任何问题,则可以选择其他方法。


7
谢谢,这很有帮助!我检查了procmail软件包的Debian变更日志,确实在2001年以后确实有很多安全补丁。其中一些补丁非常吓人。例如,标头格式错误。因此,依发行版而定,它似乎仍然受支持。
JooMing '17

我只是调整了原因的顺序,因为这实际上是主要原因。
Esa Jokinen
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.