Skip to main content

Sto pensando di chiedere la rimozione di atmailopen da Debian

Dal dicembre del 2008, sono il mantainer Debian di atmailopen, una gradevole webmail in PHP e Ajax .

Quando lo accettarono in Debian fui molto contento, ma in realtà non dovevo:

Il 19/04/2009 mi sono accorto di un Secunia advisory riguardante @Mail (SA34704) , e lo stesso giorno contattai upstream chiedendo se atmailopen fosse affetto dalla stessa vulnerabilità. Ad oggi, 2009-05-22 , non ho ricevuto nessuna risposta…

Mentre cercavo info riguardanti SA34704, ho scoperto che atmailopen usa la stessa versione vulnerabile di html2text di roundcube, CVE-2008-5619 .

Il 26/04/2009 mando una nuova email ad upstream e lo informo di questo problema, ma come al solito nulla… Ad oggi, 2009-05-22, nessuna risposta …

È dunque evidente che upstream non cura per nulla l’aspetto security per la versione open source di atmail.

È altrettanto chiaro che questo non è accettabile per un software in Debian, al più presto ne chiederò la rimozione

P.S. Se non state usando il il pacchetto Debian, vi consiglio vivamente di usare la seguente patch, o meglio usare un’altra webmail…

Aggiornamento: atmailopen è stato rimosso da Debian