2017 년에 procmail을 사용하는 것이 안전합니까?


28

방금 procmail 웹 사이트 ( http://www.procmail.org/ )가 다운 되었음을 발견했습니다 . 나는 그 상태에 대해 약간의 연구를했는데 procmail의 개발은 2001 년 이후로 끝난 것으로 보입니다. 구 procmail 관리자조차도 코드가 안전하지 않기 때문에 openbsd 포트에서 제거하는 것이 좋습니다 ( https://marc.info/? l = openbsd-ports & m = 141634350915839 & w = 2 ). 수정되지 않은 버그는 원격 코드 실행 악용으로 이어질 수 있으므로 약간 무섭습니다. 최신 Linux 배포판 (예 : Ubuntu, Debian)이 계속 제공하지만 procmail을 사용하는 것이 안전합니까?


4
일반적으로 몇 년 동안 유지 관리되지 않은 패키지는 사용하지 않는 것이 좋습니다.
Matt

답변:


31

Procmail이 한동안 유지되지 않았다는 것이 맞습니다. 마지막 관리자는 Maildrop 또는 Sieve와 같은 대체 도구를 사용하도록 제안합니다.

많은 배포판에서이를 실제 보안 위험으로 보지 못한 이유는 다음과 같습니다.

  • 배포판은 원본 소프트웨어의 실제 개발자에 관계없이 자체 보안 패치를 게시 할 수 있습니다. 그들은 .
  • 처리중인 메일은 이미 여러 구문 및 콘텐츠 확인 및 스팸 필터링을 포함하여 전체 MTA를 통과했습니다. 메시지를 넣을 위치를 결정하기 위해 Procmail MDA가 비교하는 헤더에 취약점을 유발할 수있는 것은 없을 것입니다.
  • Procmail이 일반적으로 수행하는 작업은 매우 간단합니다.

예, 아니오 환경에 문제가있는 경우 대안이 있습니다.


7
감사합니다. 도움이되었습니다. 나는 procmail 꾸러미의 데비안 변경 로그를 확인했고 2001 년 이후 실제로 몇 가지 보안 패치가있었습니다. 그들 중 일부는 꽤 무섭습니다. 예를 들어, 잘못된 헤더로 오버플로합니다. 따라서 배포판에 따라 여전히 지원되는 것으로 보입니다.
JooMing

이것이 실제로 주요 이유이므로 이유의 순서를 조정했습니다.
Esa Jokinen
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.