¿Puede el código TeX ejecutarse de forma segura desde fuentes no confiables?

Question

MediaWiki permite insertar un código de matemáticas TeX que se representa en imágenes y se publica en las páginas Wiki. ¿Esto es seguro? Si uno permite que los usuarios no confiables ingresen programas TeX para que los ejecute un intérprete que se ejecuta en un servidor web, ¿abre el servidor para ser pirateado utilizando el intérprete TeX para leer archivos de los discos del servidor? ¿Hay alguna manera de ejecutar un código TeX que no sea de confianza?

Answer 1

Obviamente, TeX puede abrir y escribir archivos mediante el funcionamiento normal, que es un posible vector de ataque. Poner la ejecución en un sandbox o jail debe encargarse de eso.

Asegúrese de disable\write18, que permite que un archivo fuente TeX ejecute comandos del sistema operativo. No hay una buena razón para permitir ese mecanismo.

En cuanto al intérprete de TeX, diría que hay muy poco de qué preocuparse ya que es probable que tenga el conteo de errores menos significativo de cualquier intérprete con todas las funciones que se haya escrito. Alguna otra parte de tu pila será un objetivo mucho más grande.

Answer 2

En teoría, sí.
Depende de su intérprete TeX. Si se encuentra una violación de seguridad en el intérprete que está utilizando y esa violación de seguridad significa que un usuario puede ejecutar código arbitrario, entonces usted tiene un problema.

Answer 3

Si su distribución de TeX utiliza la biblioteca de Kpathsea (probablemente lo haga), consulte the Security section en su documentación.