अविश्वसनीय स्रोतों से टीएक्स कोड सुरक्षित रूप से निष्पादित किया जा सकता है?

Question

मीडियाविकि एक को टेक्स गणित कोड को एम्बेड करने की अनुमति देता है जो छवियों में प्रस्तुत किया जाता है और विकी पृष्ठों में पोस्ट किया जाता है। क्या यह सुरक्षित है? यदि कोई अविश्वसनीय उपयोगकर्ताओं को वेब सर्वर में चल रहे दुभाषिया द्वारा निष्पादित करने के लिए टीएक्स प्रोग्राम इनपुट करने की अनुमति देता है, तो क्या यह सर्वर के डिस्क से फ़ाइलों को पढ़ने के लिए टीएक्स दुभाषिया का उपयोग करके सर्वर को हैक करने के लिए खोलता है? अविश्वसनीय TeX कोड को सुरक्षित रूप से निष्पादित करने का कोई तरीका है?

Answer 1

स्पष्ट रूप से टीएक्स सामान्य ऑपरेशन के माध्यम से फ़ाइलों को खोलने और लिखने में सक्षम है, जो एक संभावित हमले वेक्टर है। निष्पादन को sandbox या jail में रखना चाहिए, इसका ध्यान रखना चाहिए।

disable\write18, जो ओएस आदेश पर अमल करने के लिए एक टेक्स स्रोत फ़ाइल की अनुमति देता है सुनिश्चित करें। उस तंत्र को अनुमति देने के लिए कोई अच्छा कारण नहीं है।

टीएक्स दुभाषिया के लिए खुद के रूप में, मैं कहूंगा कि इस बारे में चिंता करने में बहुत कम चिंता है क्योंकि इसमें कभी भी लिखे गए किसी भी पूर्ण-विशेषीकृत दुभाषिया की कम से कम महत्वपूर्ण बग गिनती है। आपके ढेर का कुछ अन्य हिस्सा एक बड़ा लक्ष्य होगा।

Answer 2

सिद्धांत रूप में, हाँ।
यह आपके टीएक्स दुभाषिया पर निर्भर करता है। यदि आपके द्वारा उपयोग किए जा रहे दुभाषिया में सुरक्षा उल्लंघन पाया जाता है और वह सुरक्षा उल्लंघन का अर्थ है कि कोई उपयोगकर्ता मनमानी कोड निष्पादित कर सकता है तो आपको कोई समस्या है।

Answer 3

यदि आपका टीएक्स वितरण Kpathsea लाइब्रेरी (यह संभवतः करता है) का उपयोग करता है, तो अपने दस्तावेज़ में the Security section देखें।