我刚刚发现 procmail 网站(http://www.procmail.org/) 已关闭。我对其状态进行了一些研究,发现 procmail 的开发自 2001 年以来已经停止。甚至旧的 procmail 维护者也建议将其从 openbsd ports 中删除,因为代码不安全(https://marc.info/?l=openbsd-ports&m=141634350915839&w=2)。这有点可怕,因为未修复的错误可能会导致远程代码执行漏洞。最近的 Linux 发行版(例如 Ubuntu、Debian)仍然提供它,但使用 procmail 仍然安全吗?
答案1
Procmail 已经有一段时间没有维护了,其最后的维护者建议使用 Maildrop 或 Sieve 等替代工具。2022 年,v3.24二十年的修复被释放。
许多发行版没有将此视为真正的安全风险的原因包括:
- 无论原始软件的实际开发者是谁,发行版都可能会发布自己的安全补丁。他们是这样. 例如,CVSS 10.0CVE-2017-16844曾是固定的在不到两个月的时间内就为 Debian 提供了支持。
- 它正在处理的邮件已经通过了整个 MTA,包括多项语法和内容检查以及垃圾邮件过滤。Procmail MDA 比较邮件头以决定将邮件放在何处时,不太可能存在任何可能触发漏洞的东西。
- Procmail 通常执行的任务相当简单。
所以,是也不是。如果你对自己的环境有任何顾虑,你确实有其他选择。
答案2
值得一提的是,截至 2023 年,Procmail 的原作者 Stephen van den Berg 已接手 Procmail 的维护工作并开始再次发布错误修复。
Procmail 3.24 于 2022 年 3 月发布,并正在慢慢成为 Linux 发行版和其他发布渠道中的官方版本。此版本的发布摘要是“二十年的修复”。