#1742 closed Fehler (fixed)
Latex Vorlageneditor - potentielles Sicherheitsrisiko
| Erstellt von: | s.schoeling@… | Verantwortlicher: | m.bunkus@… |
|---|---|---|---|
| Priorität: | normal | Meilenstein: | 2.7.0 |
| Komponente: | kivitendo ERP | Version: | 2.7.0 unstable |
| Schweregrad: | kritisch | Stichworte: | Systemeinstellungen |
| Beobachter: | grichardson@… |
Beschreibung
LaTeX ist Turing komplett, und es ist ohne weiteres möglich einen Virus darin zu schrieben oder sich mit einer modifizierten Vorlage das Adminpasswort anzeigen zu lassen.
Vorschläge bisher:
- Vorlageneditor auf Adminstatus setzen
- LaTeX mit anderem root betreiben, oder die notorischen Kommandos blocken.
Änderungshistorie (4)
comment:1 Geändert vor 3 Jahren durch grichardson@…
- Beobachter grichardson@… hinzugefügt
comment:2 Geändert vor 3 Jahren durch s.schoeling@…
- Meilenstein auf 2.7.0 gesetzt
comment:3 Geändert vor 3 Jahren durch s.schoeling@…
- Lösung auf fixed gesetzt
- Status von new nach closed geändert
Mit commit 0feb034..15c3d13 auf adminrecht gesetzt.
comment:4 Geändert vor 3 Jahren durch s.schoeling@…
Und nun auch in UPGRADE dokumentiert.
Hinweis: Hilfe zur Verwendung von Tickets finden Sie in TracTickets.
Und in öffentlich zugänglichen Demoversionen sollte man unbedingt die Druckvorlagen schreibgeschützt setzen.