[geometry-ml:02896] 2016/11/30より前の TeX のセキュリティーホールについて

SUGAHARA Kunio sugahara @ cc.osaka-kyoiku.ac.jp
2017年 1月 28日 (土) 12:15:31 JST


幾何とは直接は関係ないのですが,ご存じでない方が多いようなので投稿します。詳しくは 
TeX Wiki をご参照ください。

https://texwiki.texjp.org/
--------------------------------
【重要】2016/11/30より前の TeX Live と W32TeX において TeX 
実行時に任意の外部コマンドが実行できてしまうセキュリティ上の問題が発覚しました.

2016年11月28日に,制限付きシェル実行 (restricted shell escape) 
に関する重大な問題が判明し,11月29日(日本時間では11月30日)に対策が講じられました 
(TeX Live r42605) . 具体的には shell_escape_commands のリストに従来入っていた 
MetaPost (mpost) の問題で,「-tex 
オプションに実行したいコマンドを指定することで,制限付きの状態でも任意のコマンドを実行できてしまう」というものです.W32TeX 
には mpost だけでなく,日本語対応の pmpost と upmpost も shell_escape_commands 
に追加されていたため,同様の問題が起きます。
---------------------------

菅原邦雄@大阪教育大学





Geometry-ml メーリングリストの案内