Frage Ist es sicher, 2017 procmail zu verwenden?


Ich habe gerade diese procmail Website entdeckt (http://www.procmail.org/) ist unten. Ich habe etwas über seinen Status recherchiert und es scheint, dass die Entwicklung von procmail seit 2001 tot ist. Sogar der alte procmail Maintainer empfiehlt, es von openbsd ports zu entfernen, weil der Code nicht sicher ist (https://marc.info/?l=openbsd-ports&m=141634350915839&w=2). Dies ist ein wenig beängstigend, weil nicht behobene Fehler zu einer Ausführung von Code aus der Ferne führen können. Neuere Linux-Distributionen (z. B. Ubuntu, Debian) liefern es immer noch, aber ist es immer noch sicher, procmail zu verwenden?


26
2017-10-01 08:09


Ursprung


In der Regel bevorzuge ich es, keine Pakete zu verwenden, die seit Jahren nicht mehr gepflegt werden. - Matt


Antworten:


Sie haben Recht, dass Procmail eine Zeit lang nicht gepflegt wurde und seine letzten Betreuer vorschlagen, alternative Tools wie Maildrop oder Sieve zu verwenden.

Die Gründe, die viele Distributionen nicht als echtes Sicherheitsrisiko gesehen haben, sind:

  • Verteilungen können ihre eigenen Sicherheitspatches unabhängig von den tatsächlichen Entwicklern der ursprünglichen Software veröffentlichen. Tun sie.
  • Die E-Mail, die verarbeitet wird, hat bereits einen vollständigen MTA mit mehreren Syntax- und Inhaltsüberprüfungen und Spamfiltern bestanden. Es ist nicht wahrscheinlich, dass es irgendetwas geben würde, das eine Sicherheitslücke in den Headern von Procmail MDA auslösen könnte, um zu entscheiden, wohin die Nachricht gestellt werden soll.
  • Die Aufgaben, die Procmail normalerweise ausführt, sind ziemlich einfach.

Also, ja und nein. Wenn Sie Bedenken in Ihrer Umgebung haben, haben Sie Alternativen.


30
2017-10-01 08:40



Danke, das war hilfreich! Ich habe ein Debian-Changelog des procmail-Pakets überprüft und es gibt tatsächlich einige Sicherheitspatches nach 2001. Einige von ihnen sind ziemlich gruselig. Zum Beispiel Überläufe mit fehlerhaften Headern. Abhängig von der Verteilung scheint es immer noch unterstützt zu werden. - JooMing
Ich habe nur die Reihenfolge der Gründe angepasst, da dies der Hauptgrund ist. - Esa Jokinen