Apakah aman menggunakan procmail di tahun 2017?

Saya baru saja menemukan bahwa situs web procmail ( http://www.procmail.org/ ) sedang down. Saya melakukan riset tentang statusnya dan tampaknya pengembangan procmail sudah mati sejak tahun 2001. Bahkan pengelola procmail yang lama merekomendasikan untuk menghapusnya dari port openbsd karena kodenya tidak aman ( https://marc.info/? l = openbsd-ports & m = 141634350915839 & w = 2 ). Ini agak menakutkan, karena bug yang tidak diperbaiki dapat menyebabkan eksploitasi eksekusi kode jarak jauh. Distribusi Linux terbaru (mis. Ubuntu, Debian) masih menyediakannya, tetapi apakah masih aman untuk menggunakan procmail?

Anda benar bahwa Procmail tidak dikelola untuk sementara waktu, dan pengelola terakhirnya menyarankan untuk menggunakan alat alternatif seperti Maildrop atau Sieve.

Alasan banyak distribusi belum melihat ini sebagai risiko keamanan nyata meliputi:

• Distribusi dapat menerbitkan tambalan keamanan mereka sendiri terlepas dari pengembang sebenarnya dari perangkat lunak asli. Mereka melakukannya .
• Surat yang sedang diprosesnya telah melewati seluruh MTA termasuk beberapa sintaks dan pemeriksaan konten dan penyaringan spam. Sepertinya tidak akan ada apa pun yang dapat memicu kerentanan dalam tajuk yang dibandingkan dengan Procmail MDA untuk memutuskan di mana harus meletakkan pesan.
• Tugas-tugas yang biasanya dilakukan Procmail cukup sederhana.

Jadi, ya dan tidak. Jika Anda memiliki masalah di lingkungan Anda, Anda memiliki alternatif.