web-dev-qa-db-ja.com

2017年にprocmailを使用しても安全ですか?

Procmailのウェブサイト( http://www.procmail.org/ )がダウンしていることを発見しました。私はそのステータスについていくつか調査しましたが、procmailの開発は2001年以来死んでいるようです。古いprocmailのメンテナでさえ、コードが安全ではないため、openbsdポートから削除することを勧めています( https:// marc .info /?l = openbsd-ports&m = 141634350915839&w = 2 )。未修正のバグがリモートコード実行の悪用につながる可能性があるため、これは少し怖いです。最近のLinuxディストリビューション(Ubuntu、Debianなど)でも引き続き提供されていますが、procmailを使用しても安全ですか?

28
JooMing

Procmailがしばらくメンテナンスされていないことは正しいですし、最後のメンテナーはMaildropやSieveなどの代替ツールの使用を提案しています。

多くのディストリビューションがこれを本当のセキュリティリスクと見なしていない理由は次のとおりです。

  • ディストリビューションは、元のソフトウェアの実際の開発者に関係なく、独自のセキュリティパッチを公開する場合があります。 彼らはする
  • 処理中のメールは、いくつかの構文とコンテンツチェック、スパムフィルタリングを含むMTA全体をすでに通過しています。メッセージをどこに置くかを決定するためにProcmail MDAが比較するヘッダーに脆弱性をトリガーする可能性があるものはほとんどありません。
  • Procmailが通常実行するタスクはかなり単純です。

だから、はい、いいえ。環境に懸念がある場合は、代替手段があります。

31
Esa Jokinen