Sto pensando di chiedere la rimozione di atmailopen da Debian
Dal dicembre del 2008, sono il mantainer Debian di atmailopen, una gradevole webmail in PHP e Ajax .
Quando lo accettarono in Debian fui molto contento, ma in realtà non dovevo:
Il 19/04/2009 mi sono accorto di un Secunia advisory riguardante @Mail (SA34704) , e lo stesso giorno contattai upstream chiedendo se atmailopen fosse affetto dalla stessa vulnerabilità. Ad oggi, 2009-05-22 , non ho ricevuto nessuna risposta…
Mentre cercavo info riguardanti SA34704, ho scoperto che atmailopen usa la stessa versione vulnerabile di html2text di roundcube, CVE-2008-5619 .
Il 26/04/2009 mando una nuova email ad upstream e lo informo di questo problema, ma come al solito nulla… Ad oggi, 2009-05-22, nessuna risposta …
È dunque evidente che upstream non cura per nulla l’aspetto security per la versione open source di atmail.
È altrettanto chiaro che questo non è accettabile per un software in Debian, al più presto ne chiederò la rimozione
P.S. Se non state usando il il pacchetto Debian, vi consiglio vivamente di usare la seguente patch, o meglio usare un’altra webmail…
Aggiornamento: atmailopen è stato rimosso da Debian