2017年使用procmail安全吗?

我刚刚发现procmail网站( http://www.procmail.org/ )已经closures。 我做了一些关于它的状态的研究,似乎自2001年以来,procmail的开发已经失败了。即使是旧的procmail维护者也build议将它从openbsd端口中移除,因为代码是不安全的( https://marc.info/? l = openbsd-ports&m = 141634350915839&w = 2 )。 这有点吓人,因为未修复的bug会导致远程代码执行漏洞。 最近的Linux发行版(例如Ubuntu,Debian)仍然提供它,但使用procmail仍然安全吗?

Procmail没有被维护一段时间是正确的,最后的维护者build议使用Maildrop或Sieve等替代工具。

许多分销商没有将这种风险视为真正的安全风险的原因包括:

  • 不pipe原始软件的实际开发者如何,分发版本都可以发布他们自己的安全补丁。 他们这样做 。
  • 它正在处理的邮件已经通过了整个MTA,包括几个语法和内容检查以及垃圾邮件过滤。 这是不可能的,任何可能触发标题中的漏洞Procmail MDA比较,以决定在哪里把消息。
  • Procmail通常执行的任务非常简单。

所以,是的,不。 如果你在你的环境中有任何问题,你有其他select。