신뢰할 수없는 출처에서 TeX 코드를 안전하게 실행할 수 있습니까?

Question

MediaWiki는 이미지로 렌더링되어 Wiki 페이지에 게시되는 TeX 수학 코드를 삽입 할 수있게합니다. 이거 안전한가요? 신뢰할 수없는 사용자가 웹 서버에서 실행중인 인터프리터에 의해 실행되도록 TeX 프로그램을 입력하도록 허용하는 경우 TeX 인터프리터를 사용하여 서버의 디스크에서 파일을 읽으면 해킹 당할 수있는 서버가 열리게됩니까? 신뢰할 수없는 TeX 코드를 안전하게 실행할 수 있습니까?

Answer 1

분명히 TeX은 정상적인 작동을 통해 파일을 열어서 쓸 수 있습니다. 이것은 공격 경로입니다. 실행을 sandbox 또는 jail에 넣으면 처리해야합니다.

TeX 소스 파일에서 OS 명령을 실행할 수 있도록 disable\write18이어야합니다. 이 메커니즘을 허용 할 충분한 이유가 없습니다.

TeX 인터프리터 자체에 관해서는, 필자가 작성한 완전한 기능의 인터프리터 중 가장 중요하지 않은 버그 수가 가능성이 있으므로 걱정할 필요가 거의 없다고 말하고 싶습니다. 스택의 다른 부분은 훨씬 큰 목표가됩니다.

Answer 2

이론상 그렇습니다.
TeX 인터프리터에 따라 다릅니다. 귀하가 사용하고있는 통역사에 보안 위반 사항이 있으며 사용자가 임의의 코드를 실행할 수 있다고 보안 침해가 발생하면 문제가 발생합니다.

Answer 3

TeX 배포판이 Kpathsea 라이브러리를 사용하는 경우 (아마도), 해당 설명서의 the Security section을 참조하십시오.