Procmail’i 2017’de kullanmak güvenli midir?

Procmail web sitesinin ( http://www.procmail.org/ ) kapalı olduğunu yeni öğrendim . Durumu hakkında biraz araştırma yaptım ve procmail’in geliştirilmesinin 2001’den bu yana ölmüş olduğu görülüyor. Eski procmail yöneticisi bile kodun güvenli olmadığı için openbsd portlarından çıkarılmasını tavsiye ediyor ( https://marc.info/? l = openbsd portları & m = 141634350915839 & w = 2 ). Bu biraz korkutucu çünkü düzeltilmemiş hatalar uzaktan kod çalıştırma istismarlarına neden olabilir. Son Linux dağıtımları (örneğin Ubuntu, Debian) hala sağlamaktadır, ancak procmail kullanmak hala güvenli midir?

email procmail

— JooMing
kaynak

Genel bir kural olarak, yıllarca bakımı yapılmamış paketleri kullanmamayı tercih ediyorum.

— Matt

Procmail’in bir süredir bakımını yapmadığın konusunda haklısın ve son sorumluları Maildrop veya Sieve gibi alternatif araçlar kullanmayı öneriyorlar.

Birçok dağıtımın bunu gerçek bir güvenlik riski olarak görmediğinin nedenleri arasında şunlar vardır:

Dağıtımlar, orijinal yazılımın gerçek geliştiricilerinden bağımsız olarak kendi güvenlik yamalarını yayınlayabilir. Onlar yapar .
İşlem yaptığı posta, birkaç sözdizimi ve içerik kontrolü ve spam filtreleme de dahil olmak üzere tüm MTA'yı geçti. İletiyi nereye koyacağınıza karar vermek için Procmail MDA'nın karşılaştırdığı başlıklardaki bir güvenlik açığını tetikleyebilecek herhangi bir şey olması muhtemel değildir.
Procmail'in genelde gerçekleştirdiği görevler oldukça basittir.

Yani, evet ve hayır. Çevrenizde endişeleriniz varsa, alternatifleriniz var.

— Esa Jokinen
kaynak

Teşekkürler, bu yardımcı oldu! Procmail paketinin Debian değişimini kontrol ettim ve 2001'den sonra gerçekten birkaç güvenlik yaması var. Bazıları oldukça korkutucu. Örneğin, hatalı biçimlendirilmiş başlıklarla taşma. Yani dağılıma bağlı olarak, hala destekleniyor gibi görünüyor.

— JooMing

Nedenlerin sırasını değiştirdim çünkü asıl sebep bu.

— Esa Jokinen