MediaWiki permet d'intégrer du code mathématique TeX qui est rendu en images et publié dans les pages Wiki. Est-ce sûr? Si l'on permet à des utilisateurs non fiables d'entrer des programmes TeX devant être exécutés par un interpréteur exécuté sur un serveur Web, ouvre-t-il le serveur pour être piraté en utilisant l'interpréteur TeX pour lire les fichiers des disques du serveur? Existe-t-il un moyen d'exécuter du code TeX non sécurisé en toute sécurité?Le code TeX peut-il être exécuté en toute sécurité à partir de sources non fiables?
Répondre
De toute évidence, TeX est capable d'ouvrir et d'écrire des fichiers en mode de fonctionnement normal, qui est un vecteur d'attaque possible. Mettre l'exécution dans un sandbox ou jail devrait prendre soin de cela.
Assurez-vous de disable\write18
, ce qui permet à un fichier source TeX d'exécuter des commandes du système d'exploitation. Il n'y a pas de bonne raison d'autoriser ce mécanisme. En ce qui concerne l'interpréteur TeX lui-même, je dirais qu'il y a peu à s'inquiéter car il a probablement le nombre de bogues le moins significatif de tous les interpréteurs complets jamais écrits. Une autre partie de votre pile sera une cible beaucoup plus grande.
En théorie, oui.
Cela dépend de votre interpréteur TeX. Si une violation de sécurité est détectée dans l'interpréteur que vous utilisez et que cette violation de sécurité signifie qu'un utilisateur peut exécuter du code arbitraire, vous avez un problème.
Si votre distribution TeX utilise la bibliothèque Kpathsea (ce qui est probablement le cas), consultez sa documentation dans le document the Security section.
Une excellente suggestion. D'après le son, TeX n'aurait pas besoin de tant de fichiers pour effectuer la tâche suggérée par le questionneur, mais d'autres utilisations pourraient ouvrir un peu du système hôte. –
- 1. Les plistes peuvent-ils être lus en toute sécurité à partir d'une source non fiable?
- 2. Toute alternative XML de TEX?
- 3. Obtention d'événements à partir d'un thread en toute sécurité
- 4. Spring La sécurité est appelée à partir de différentes sources
- 5. Comment trouver le code non-exécuté
- 6. Mise en cache et lecture d'images vidéo non fiables
- 7. Est le C# '??' thread de l'opérateur en toute sécurité?
- 8. En écho en toute sécurité aux données MIDI en C#
- 9. Comment puis-je recueillir des données en toute sécurité à partir des sites Web des clients
- 10. Comment remplir un tableau d'octets à partir de plusieurs threads en toute sécurité?
- 11. Comment utiliser un obfuscateur en toute sécurité?
- 12. Remplacer le lien symbolique important 'en toute sécurité'
- 13. Comment créer en toute sécurité un NSInteger à partir d'un CGFloat?
- 14. Get SQL exécuté à partir de nHibernate
- 15. Dictionnaire .NET: énumère uniquement les threads en toute sécurité?
- 16. script shell non exécuté
- 17. Comment supprimer en toute sécurité des fichiers dans Java
- 18. Le code peut-il être exécuté lorsqu'un objet tombe hors de la portée dans .Net?
- 19. Un Jar signé peut-il être exécuté en tant qu'exécutable?
- 20. Comment demander des données en toute sécurité via Google OAuth?
- 21. Modifier en toute sécurité le type de données d'une colonne répliquée dans SQL Server 2005?
- 22. Techniques recommandées pour la mise à jour sur site de Linux embarqué en toute sécurité
- 23. MS VS-2005 L'optimisation du compilateur ne supprime pas le code inutilisé/non exécuté
- 24. Les protocoles SVN et HTTP peuvent-ils être utilisés en toute sécurité sur le même référentiel simultanément?
- 25. Comment intégrer en toute sécurité un fichier flash (swf)?
- 26. Chargement de la configuration WCF (pour le serveur + client) à partir de sources personnalisées (non standard XML)
- 27. extraire le texte de tex, enlever les étiquettes de latex
- 28. Quels domaines du web.config puis-je supprimer en toute sécurité?
- 29. Avis sur le code de sécurité
- 30. Le test d'unité VS.Net peut-il être exécuté en dehors de l'EDI?
Les raisons d'autoriser \ write18 existent - pour les documents de confiance, bien sûr. dot2tex, par exemple. –