código TeX pode ser executado com segurança a partir de fontes não confiáveis?
https://stackoverflow.com/questions/467214
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
MediaWiki permite código TeX matemática embutir que é processado em imagens e afixado nas páginas Wiki. Isso é seguro? Se alguém permite que usuários não confiáveis ??para programas TeX de entrada a serem executados por um interpretador em execução em um servidor web, não é abrir o servidor até ser cortado usando o intérprete TeX para ler arquivos de discos do servidor? Existe uma maneira de executar código TeX não confiável com segurança?
Solução
Obviamente TeX é capaz de abrir e os arquivos de gravação através de uma operação normal, que é um possível vetor de ataque. Colocar a execução em um sandbox ou cadeia deve tomar cuidado com isso.
Certifique-se de desativar \write18, que permite que um arquivo fonte TeX para executar comandos do sistema operacional. Não há nenhuma boa razão para permitir que esse mecanismo.
Quanto ao TeX intérprete em si, eu diria que há muito pouco com que se preocupar, uma vez que provavelmente tem a contagem de erro significativa menos de qualquer intérprete full-featured já escrito. Alguma outra parte do seu stack será um alvo muito maior.
Outras dicas
Se a sua distribuição TeX usa a biblioteca kpathsea (provavelmente não), consulte de Segurança seção em sua documentação.
Em teoria, sim.
Depende do seu intérprete TeX. Se uma violação de segurança é encontrada no interpretador que você está usando e isso significa violação de segurança que um usuário pode executar código arbitrário, então você tem um problema.
