จะปลอดภัยที่จะใช้ procmail ในปี 2017?


28

ฉันเพิ่งค้นพบว่าเว็บไซต์ procmail ( http://www.procmail.org/ ) หยุดทำงาน ฉันได้ทำการวิจัยเกี่ยวกับสถานะของมันและปรากฏว่าการพัฒนาของ procmail นั้นตายไปตั้งแต่ปี 2001 แม้แต่ผู้ดูแล procmail เก่าก็แนะนำให้เอามันออกจากพอร์ต openbsd เพราะรหัสนั้นไม่ปลอดภัย ( https://marc.info/? l = openbsd-ports & m = 141634350915839 & w = 2 ) นี่เป็นบิตที่น่ากลัวเพราะข้อบกพร่องที่ไม่ได้ผสมอาจทำให้เกิดการเรียกใช้โค้ดจากระยะไกล ลีนุกซ์ลีนุกซ์รุ่นล่าสุด (เช่น Ubuntu, Debian) ยังคงให้บริการอยู่ แต่มันยังปลอดภัยที่จะใช้ procmail หรือไม่?


4
ตามกฎทั่วไปฉันไม่ต้องการใช้แพ็คเกจที่ไม่ได้รับการดูแลเป็นเวลาหลายปี
Matt

คำตอบ:


31

คุณถูกต้องที่ Procmail ไม่ได้รับการบำรุงรักษาเป็นระยะเวลานานและผู้ดูแลระบบคนสุดท้ายขอแนะนำให้ใช้เครื่องมือทางเลือกเช่น Maildrop หรือ Sieve

เหตุผลที่การกระจายจำนวนมากไม่ได้เห็นสิ่งนี้เป็นความเสี่ยงด้านความปลอดภัยที่แท้จริงรวมถึง:

  • การแจกจ่ายอาจเผยแพร่ซอฟต์แวร์รักษาความปลอดภัยของตนเองโดยไม่คำนึงถึงผู้พัฒนาซอฟต์แวร์จริง ที่พวกเขาทำ
  • เมลที่ใช้ในการประมวลผลได้ผ่าน MTA ทั้งหมดแล้วรวมถึงการตรวจสอบไวยากรณ์และเนื้อหาและการกรองสแปม ไม่น่าเป็นไปได้ว่าจะมีสิ่งใดที่สามารถทำให้เกิดช่องโหว่ในส่วนหัว Procmail MDA เปรียบเทียบเพื่อตัดสินใจว่าจะวางข้อความไว้ที่ไหน
  • งาน Procmail มักจะทำได้ค่อนข้างง่าย

ดังนั้นใช่และไม่ใช่ หากคุณมีข้อกังวลใด ๆ ในสภาพแวดล้อมของคุณคุณมีทางเลือกอื่น


7
ขอบคุณสิ่งนี้มีประโยชน์! ฉันตรวจสอบ Debian changelog ของแพ็กเกจ procmail และมีแพตช์รักษาความปลอดภัยค่อนข้างน้อยหลังจากปี 2001 บางอันก็น่ากลัว ตัวอย่างเช่นโอเวอร์โฟลว์ที่มีส่วนหัวที่ไม่ถูกต้อง ดังนั้นขึ้นอยู่กับการกระจายก็ยังดูเหมือนจะได้รับการสนับสนุน
JooMing

ฉันเพิ่งปรับลำดับของเหตุผลเพราะนี่คือเหตุผลหลักที่จริง
Esa Jokinen
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.