6

MediaWiki 允许嵌入 TeX 数学代码,这些代码呈现为图像并发布到 Wiki 页面。这安全吗?如果允许不受信任的用户输入要由运行在 Web 服务器中的解释器执行的 TeX 程序,它是否会通过使用 TeX 解释器从服务器磁盘读取文件来打开服务器被黑客攻击?有没有办法安全地执行不受信任的 TeX 代码?

4

3 回答 3

4

显然,TeX 能够通过正常操作打开和写入文件,这是一个可能的攻击向量。将执行放入沙盒监狱中应该可以解决这个问题。

一定要禁用 \write18,它允许 TeX 源文件执行操作系统命令。没有充分的理由允许这种机制。

至于 TeX 解释器本身,我想说没有什么好担心的,因为它可能是有史以来所有功能齐全的解释器中最不重要的错误计数。你的堆栈的其他部分将是一个更大的目标。

于 2009-01-21T22:17:54.957 回答
2

如果您的 TeX 发行版使用 Kpathsea 库(它可能会使用),请参阅其文档中的安全部分

于 2009-01-22T07:24:44.773 回答
-1

理论上,是的。
这取决于您的 TeX 解释器。如果在您使用的解释器中发现安全漏洞,并且该安全漏洞意味着用户可以执行任意代码,那么您就有问题了。

于 2009-01-21T22:09:08.827 回答