2017年使用procmail安全吗？

Question

我刚发现procmail网站(http://www.procmail.org/)已经瘫痪了。我对它的地位做了一些研究，看来自2001年以来，procmail的发展已经停止。即使是旧的procmail维护人员也建议将其从openbsd端口中删除，因为代码在不安全(https://marc.info/?l=openbsd-ports&m=141634350915839&w=2)中。这有点吓人，因为未修复的bug可能导致远程代码执行漏洞。最近的Linux发行版(例如Ubuntu、Debian)仍然提供它，但是使用procmail仍然安全吗？

Answer 1

您是正确的，Procmail已经有一段时间没有被维护了，它的最后一个维护人员建议使用其他工具，比如Maildrop或for。

许多发行版没有将此视为真正的安全风险的原因包括：

• 发行版可以发布自己的安全补丁，而不考虑原始软件的实际开发人员。他们就是这样。
• 它处理的邮件已经通过了整个MTA，包括几个语法和内容检查以及垃圾邮件过滤。在Procmail比较的标头中不可能有任何可能触发漏洞的东西，以决定将消息放在哪里。
• Procmail通常执行的任务相当简单。

所以，是和不是。如果你在你的环境中有任何顾虑，你确实有其他选择。

Answer 2

从2023年起，Procmail的原作者Stephen开始对Procmail进行维护，并开始重新发布修复程序。

Procmail 3.24是在2022年3月发布的，它正在慢慢地成为Linux发行版和其他出版渠道的官方版本。这个版本的发布摘要是“二十年的修复”。

https://github.com/BuGlessRB/procmail