¿Es seguro usar procmail en 2017?

28

Acabo de descubrir que el sitio web de procmail ( http://www.procmail.org/ ) está caído. Investigué un poco sobre su estado y parece que el desarrollo de procmail ha estado muerto desde 2001. Incluso el antiguo responsable de procmail recomienda eliminarlo de los puertos de openbsd porque el código no es seguro ( https://marc.info/? l = openbsd-ports & m = 141634350915839 & w = 2 ). Esto da un poco de miedo, porque los errores no corregidos podrían conducir a una explotación remota de la ejecución de código. Las distribuciones recientes de Linux (por ejemplo, Ubuntu, Debian) todavía lo proporcionan, pero ¿es seguro usar procmail?

JooMing
fuente
44
Como regla general, prefiero no usar paquetes que no se han mantenido durante años.
Matt

Respuestas:

31

Tienes razón en que Procmail no se ha mantenido por un tiempo, y sus últimos encargados sugieren usar herramientas alternativas como Maildrop o Sieve.

Las razones por las que muchas distribuciones no han visto esto como un riesgo de seguridad real incluyen:

  • Las distribuciones pueden publicar sus propios parches de seguridad independientemente de los desarrolladores reales del software original. Lo hacen .
  • El correo que está procesando ya pasó un MTA completo que incluye varias sintaxis y verificaciones de contenido y filtrado de spam. No es probable que haya algo que pueda desencadenar una vulnerabilidad en los encabezados que Procmail MDA compara para decidir dónde colocar el mensaje.
  • Las tareas que Procmail suele realizar son bastante simples.

Entonces sí y no. Si tiene alguna inquietud en su entorno, tiene alternativas.

Esa Jokinen
fuente
77
Gracias, esto fue útil! Revisé un registro de cambios de Debian del paquete procmail y de hecho hay bastantes parches de seguridad después de 2001. Algunos de ellos dan bastante miedo. Por ejemplo, se desborda con encabezados mal formados. Entonces, dependiendo de la distribución, todavía parece ser compatible.
JooMing
Acabo de ajustar el orden de las razones ya que esta es la razón principal en realidad.
Esa Jokinen