Yuichi Saotome

信州大学の五月女です．

大変申し訳ないのですが，あまり時間もとれないため，お言葉に甘えてここに投稿させていただきます．

以下の環境で再現されました．

1. Moodleのバージョン
-- Moodle 1.8 + (07/06/08ビルド版)
-- Moodle 1.7.2 + (07/06/08ビルド版)

2. 使用しているサーバのOS
-- FreeBSD 6.2-RELEASE-p4 i386
-- CentOS 4.4 2.6.9-42.ELsmp i386

3. 使用しているPHP
-- PHP version 5.2.3 (FreeBSD 6.2)
-- PHP version 5.1.6 (CentOS 4.4)

4. 使用しているデータベース
-- MySQL Server version 5.0.41 (FreeBSD 6.2)
-- MySQL Server version 5.0.27 (CentOS 4.4)

5. XSSの脆弱性があるモジュール (例 フォーラム、小テスト等)
-- "サイト管理"メニューの"コース"->"コースの追加/編集"のカテゴリの追加機能

6. XSSの脆弱性の詳細
-- カテゴリの追加機能の入力値のチェックが甘い
-- hoge<script>alert("hogehoge")</script>といったスクリプトがそのまま保存されてしまうため，ユーザがカテゴリの追加画面を開くたびに実行されてしまう．

7.該当箇所と思われる部分
-- Moodle 1.7.2 +
--- course/index.php
--- $Id: index.php,v 1.57.2.2 2007/03/30 15:38:32 stronk7 Exp $
---- line:110 > $newcategory->name = $form->addcategory;

-- Moodle 1.8 +
--- course/index.php
--- $Id: index.php,v 1.67.2.7 2007/04/18 04:51:59 toyomoyo Exp $
---- line:50 > $newcategory->name = stripslashes_safe($form->addcategory);

-- Moodle 1.8 + ではstripslashes_safeとか使っているので直ったのかと思いましたが，lib/weblib.phpの該当箇所を見た感じでは違いました．
-- タグを取るなり，無効化するなりの処理が必要だと思います．


吉田さん，よろしくおねがいします．

信州大学の五月女です．

MoodleにXSSの脆弱性を見つけたのですが，恥ずかしい話，英語が不自由なので本家のフォーラムに投稿する勇気がありません
日本語フォーラムに投げた場合，誰か拾ってくださったるんでしょうか？

信州大学の五月女です．

私も似たような事で調べたことがあります．
残念ながら，Moodle標準の機能でそういった機能は提供されていないようです．

参考までに，私はコースの設定項目を見せる人と見せない人に分ける機能を実装しました．
私はMoodle1.7系列のロール機能を利用して，コードを書き換えることで，管理者権限には見せる，教師権限には見せないといった機能を実現しました．

信州大学の五月女です．

ご存じかもしれませんが，Moodleのデフォルト状態では日本語ファイル名を扱うことができません．

詳細は奥村先生がまとめられているWIkiをどうぞ．
http://oku.edu.mie-u.ac.jp/~okumura/linux/?Moodle%201.7

ただし，この処理をしても，zipファイルに含まれる日本語ファイル名の取り扱いの問題や，MacOSXからアップロードした濁点半濁点を含む日本語ファル名のutf-8-macの問題等，日本語ファイル名は問題が多いです．
現在，私も日本語ファイル名対策を行ったMoodleを制作しているのですが，どんな環境からも完璧な処理が行える状態ではありません．

素早い対応感謝します．