Łukasz Nowak wrote:
>
> In article <3.0.6.32.20010314185540.0087c9d0@server>, Piotr Strzelczyk wrote:
> >Tak/ze od Krzysia dowiedzia/lem si/e, /ze TeX nie jest najlepszy do
> >takich ,,serverowych'' zastosowa/n -- zar/owno ze wzgl/edu na wydajno/s/c,
> >jak i bezpiecze/nstwo. I tu bym mu wierzy/l.
> Dokladniej jaki luki moga wystapic? Serwerek (aqrat dla mnie) bedzie
> dedykowany tylko i wylacznie to *TeXowania wejscia i wysylania do stacji
> klienckich. Siec raczej i tak bez bezposredniego podlaczenia z
> Internetem...
>
<hipoteza marcinka>
TeX pozwala:
- wstawić zewnętrzny plik (\input)
- wywołać program zewnętrzny (nie znam się na plainie więc nie wiem co
jest niskopoziomowe ale skoro \includegraphics może wywołać program
filtrujący to jakoś to robi)
W związku z powyższym, gdybyśmy pozwolili losowej osobie wysłać nam plik
TeXowy do przetexowania, mogliby np. zaincludeować /etc/passwd (choćby
po to by obejrzeć go na wynikowym wydruku) albo wykonać dowolne
polecenie shellowe. Zredukować problem można być znacząco redukując
uprawnienia użytkownika na którym tex byłby odpalany.
Akurat dla mnie powyższe nie stanowi problemu, myślę nie o generycznej
drukarce texowej tylko o wpleceniu texa w dłuższy ciąg przetwarzania.
</hipoteza>
--
http://www.mk.w.pl /
Marcin.Kasperski | O CVS i zarządzaniu wersjami kodu:
@softax.com.pl | http://www.mk.w.pl/narzedzia/narzedzia_cvs
@bigfoot.com \
