क्या 2017 में घोषित का उपयोग करना सुरक्षित है?


28

मुझे अभी पता चला है कि घोषित वेबसाइट ( http://www.procmail.org/ ) नीचे है। मैंने इसकी स्थिति के बारे में कुछ शोध किया था और ऐसा प्रतीत होता है कि 2001 के बाद से घोषणा का विकास मृत हो गया है। यहां तक ​​कि पुराने घोषित सदस्य इसे ओपनबर्ड पोर्ट से हटाने की सलाह देते हैं क्योंकि कोड सुरक्षित नहीं है ( https://marc.info/) l = ओपनबल्ड-पोर्ट्स & m = 141634350915839 और w = 2 )। यह थोड़ा डरावना है, क्योंकि अनफिक्स बग्स रिमोट कोड निष्पादन कारनामों को जन्म दे सकते हैं। हाल ही में लिनक्स वितरण (जैसे उबंटू, डेबियन) अभी भी प्रदान करते हैं, लेकिन क्या अभी भी इसका उपयोग करना सुरक्षित है?


4
एक सामान्य नियम के रूप में, मैं उन पैकेजों का उपयोग नहीं करना पसंद करता हूं जो वर्षों से बनाए नहीं हुए हैं।
मैट

जवाबों:


31

आप सही हैं कि Procmail को कुछ समय के लिए बनाए नहीं रखा गया है, और इसके अंतिम अनुरक्षक वैकल्पिक उपकरण जैसे Maildrop या चलनी का उपयोग करने का सुझाव देते हैं।

कई वितरणों के कारण इसे वास्तविक सुरक्षा जोखिम के रूप में नहीं देखा गया है:

  • मूल सॉफ़्टवेयर के वास्तविक डेवलपर्स की परवाह किए बिना वितरण अपने स्वयं के सुरक्षा पैच प्रकाशित कर सकते हैं। वे करते हैं
  • यह मेल जो प्रसंस्करण कर रहा है वह पहले से ही एक संपूर्ण एमटीए पारित कर चुका है जिसमें कई सिंटैक्स और सामग्री की जांच और स्पैम फ़िल्टरिंग शामिल है। यह संभावना नहीं है कि ऐसा कुछ भी होगा जो हेडर में एक भेद्यता को ट्रिगर कर सकता है Procmail MDA यह तय करने के लिए तुलना करता है कि संदेश कहां रखा जाए।
  • प्रोकमेल आमतौर पर जो कार्य करते हैं वे काफी सरल होते हैं।

तो, हाँ और नहीं। यदि आपके पर्यावरण में कोई चिंता है, तो आपके पास विकल्प हैं।


7
धन्यवाद, यह मददगार था! मैंने घोषित पैकेज के एक डेबियन चैंज को चेक किया और 2001 के बाद वास्तव में काफी कुछ सुरक्षा पैच हैं। उनमें से कुछ एक बहुत डरावना है। उदाहरण के लिए, विकृत हेडर के साथ ओवरफ्लो। इसलिए वितरण के आधार पर, यह अभी भी समर्थित प्रतीत होता है।
जूमिंग

मैंने सिर्फ कारणों के क्रम को समायोजित किया क्योंकि यह वास्तव में प्रमुख कारण है।
Esa Jokinen
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.