MediaWiki では、画像にレンダリングされて Wiki ページに投稿される TeX 数学コードを埋め込むことができます。これは安全ですか?信頼されていないユーザーが Web サーバーで実行されているインタープリターによって実行される TeX プログラムを入力できるようにした場合、TeX インタープリターを使用してサーバーのディスクからファイルを読み取ることにより、サーバーがハッキングされる可能性がありますか? 信頼できない TeX コードを安全に実行する方法はありますか?
Arcane
質問する
379 次
3 に答える
4
明らかに、TeX は通常の操作でファイルを開いたり書き込んだりできますが、これは攻撃ベクトルになる可能性があります。実行をサンドボックスまたは刑務所に入れることで、それを処理する必要があります。
を必ず無効 \write18にしてください。これにより、TeX ソース ファイルが OS コマンドを実行できるようになります。そのメカニズムを許可する正当な理由はありません。
TeX インタープリター自体に関しては、これまでに作成されたフル機能のインタープリターの中でバグ数が最も少ない可能性が高いため、心配する必要はほとんどないと思います。スタックの他の部分は、はるかに大きなターゲットになります。
于 2009-01-21T22:17:54.957 に答える
2
TeX ディストリビューションが Kpathsea ライブラリを使用している場合 (おそらく使用しています)、そのドキュメントのセキュリティ セクションを参照してください。
于 2009-01-22T07:24:44.773 に答える
-1
理論的には、そうです。
TeX インタープリターに依存します。使用しているインタープリターにセキュリティ違反が見つかり、そのセキュリティ違反がユーザーが任意のコードを実行できることを意味する場合、問題があります。
于 2009-01-21T22:09:08.827 に答える