Email
2017年使用procmail安全嗎?
我剛剛發現 procmail 網站 ( http://www.procmail.org/ ) 已關閉。我對其狀態進行了一些研究,似乎 procmail 的開發自 2001 年以來就已經停止。即使是舊的 procmail 維護者也建議將其從 openbsd 埠中刪除,因為程式碼不安全(https://marc.info/? l=openbsd-ports&m=141634350915839&w=2 )。這有點可怕,因為未修復的錯誤可能導致遠端程式碼執行漏洞。最近的 Linux 發行版(例如 Ubuntu、Debian)仍然提供它,但使用 procmail 仍然安全嗎?
你說得對,Procmail 已經有一段時間沒有維護了,它的最後維護者建議使用 Maildrop 或 Sieve 等替代工具。
許多發行版沒有將其視為真正的安全風險的原因包括:
- 無論原始軟體的實際開發人員如何,發行版都可以發布自己的安全更新檔。他們這樣做。
- 它正在處理的郵件已經通過了整個 MTA,包括幾個語法和內容檢查以及垃圾郵件過濾。Procmail MDA 比較的標頭中不太可能存在任何可能觸發漏洞以決定將消息放置在何處的內容。
- Procmail 通常執行的任務相當簡單。
所以,是的,不是的。如果您對您的環境有任何顧慮,您確實有其他選擇。