Kann TeX-Code sicher von nicht vertrauenswürdigen Quellen ausgeführt werden?

Question

MediaWiki ermöglicht das Einbetten von TeX-Mathecode, der in Bilder gerendert und in die Wiki-Seiten eingefügt wird. Ist das sicher? Wenn man es nicht vertrauenswürdigen Benutzern erlaubt, TeX-Programme einzugeben, die von einem Interpreter ausgeführt werden, der auf einem Webserver läuft, öffnet er dann den Server, um gehackt zu werden, indem er den TeX-Interpreter benutzt, um Dateien von den Platten des Servers zu lesen? Gibt es eine Möglichkeit, nicht vertrauenswürdigen TeX-Code sicher auszuführen?

Answer 1

Offensichtlich TeX ist in der Lage, Dateien durch normalen Betrieb zu öffnen und zu schreiben, was ein möglicher Angriffsvektor ist. Putting die Ausführung in eine sandbox oder jail sollte darum kümmern.

Achten Sie darauf, disable\write18, die eine TeX-Quelldatei OS-Befehle ausführen können. Es gibt keinen guten Grund, diesen Mechanismus zuzulassen.

Wie für den TeX-Interpreter selbst, würde ich sagen, es gibt sehr wenig, worüber man sich Sorgen machen muss, da es wahrscheinlich die geringste Anzahl an Bugs eines Interpreters mit vollem Funktionsumfang hat. Ein anderer Teil Ihres Stapels wird ein weit größeres Ziel sein.

Answer 2

In der Theorie ja.
Es hängt von Ihrem TeX-Interpreter ab. Wenn eine Sicherheitsverletzung in dem von Ihnen verwendeten Interpreter gefunden wird und diese Sicherheitsverletzung bedeutet, dass ein Benutzer beliebigen Code ausführen kann, liegt ein Problem vor.

Answer 3

Wenn Ihre TeX-Distribution die Kpathsea-Bibliothek verwendet (wahrscheinlich), finden Sie in der Dokumentation unter the Security section.