ミニ・いんふぉめーしょん

目 次 

【1】複数の Mozilla 製品に脆弱性
【2】Apache Camel に XML 外部実体参照 (XXE) に関する脆弱性
【3】WordPress 用プラグイン WP Open Graph にクロスサイトリクエストフォージェリの脆弱性
【4】三菱電機製 MELSEC-Q シリーズ Ethernet インタフェースユニットにサービス運用妨害 (DoS) の脆弱性
【5】Android アプリ「Tootdon for マストドン(Mastodon)」に SSL サーバ証明書の検証不備の脆弱性
【6】Microsoft Windows タスクスケジューラにおける権限昇格の脆弱性
【今週のひとくちメモ】NISC が「サイバーセキュリティ2019」などの資料を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr192001.html
https://www.jpcert.or.jp/wr/2019/wr192001.xml
============================================================================

【1】複数の Mozilla 製品に脆弱性

情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox, Thunderbird
https://www.us-cert.gov/ncas/current-activity/2019/05/21/Mozilla-Releases-Security-Updates-Firefox

概要
複数の Mozilla 製品には、脆弱性があります。結果として、第三者が任意の
コードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Firefox 67 より前のバージョン
- Firefox ESR 60.7 より前のバージョン
- Thunderbird 60.7 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更
新することで解決します。詳細は、Mozilla が提供する情報を参照してくださ
い。

関連文書 (英語)
Mozilla
Security vulnerabilities fixed in Firefox 67
https://www.mozilla.org/en-US/security/advisories/mfsa2019-13/

Mozilla
Security vulnerabilities fixed in Firefox ESR 60.7
https://www.mozilla.org/en-US/security/advisories/mfsa2019-14/

Mozilla
Security vulnerabilities fixed in Thunderbird 60.7
https://www.mozilla.org/en-US/security/advisories/mfsa2019-15/

【2】Apache Camel に XML 外部実体参照 (XXE) に関する脆弱性

情報源
Japan Vulnerability Notes JVN#71498764
Apache Camel における XML 外部実体参照 (XXE) に関する脆弱性
https://jvn.jp/jp/JVN71498764

概要
Apache Camel には、XML 外部実体参照 (XXE) に関する脆弱性があります。結
果として、第三者が、細工したリクエストを送信することで、サーバ上の任意
のファイルを読みとる可能性があります。

対象となるバージョンは次のとおりです。

- Apache Camel 2.24.0 より前のバージョン

この問題は、Apache Camel を The Apache Software Foundation が提供する
修正済みのバージョンに更新することで解決します。詳細は、The Apache
Software Foundation が提供する情報を参照してください。

関連文書 (英語)
The Apache Software Foundation
Apache Camel
https://camel.apache.org/

【3】WordPress 用プラグイン WP Open Graph にクロスサイトリクエストフォージェリの脆弱性

情報源
Japan Vulnerability Notes JVN#33652328
WordPress 用プラグイン WP Open Graph におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN33652328/

概要
WordPress 用プラグイン WP Open Graph には、クロスサイトリクエストフォー
ジェリの脆弱性があります。結果として、当該製品にログインした状態のユー
ザが、第三者によって細工されたページにアクセスした場合、意図しない操作
をさせられる可能性があります。

対象となるバージョンは次のとおりです。

- WP Open Graph 1.6.1 およびそれ以前

この問題は、WP Open Graph を開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
WordPress Custom4Web
WP Open Graph
https://wordpress.org/plugins/wp-open-graph/

【4】三菱電機製 MELSEC-Q シリーズ Ethernet インタフェースユニットにサービス運用妨害 (DoS) の脆弱性

情報源
Japan Vulnerability Notes JVNVU#93268101
三菱電機製 MELSEC-Q シリーズ Ethernet インタフェースユニットにおけるサービス運用妨害(DoS)の脆弱性
https://jvn.jp/vu/JVNVU93268101/

概要
三菱電機株式会社が提供する MELSEC-Q シリーズの Ethernet インタフェース
ユニットの FTP 機能には、脆弱性があります。結果として、遠隔の第三者が、
細工した TCP パケットを FTP サービスに送信することで、サービス運用妨害
(DoS) を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- MELSEC-Q シリーズ Ethernet インタフェースユニットのうち、下記の製品型番とバージョンのもの
- QJ71E71-100 シリアル番号の上 5 桁が 20121 以前のバージョン

この問題への対策として次の回避策の実施を検討してください。

- ファイアウォールの設定で、信頼できないネットワークやホストからの FTP リクエストをブロックする
- 該当する製品の FTP 機能を無効にする

関連文書 (英語)
ICS-CERT Advisory (ICSA-19-141-02)
Mitsubishi Electric MELSEC-Q Series Ethernet Module
https://ics-cert.us-cert.gov/advisories/ICSA-19-141-02

【5】Android アプリ「Tootdon for マストドン(Mastodon)」に SSL サーバ証明書の検証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#57806517
Android アプリ「Tootdon for マストドン(Mastodon)」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN57806517/

概要
Android アプリ「Tootdon for マストドン(Mastodon)」には、SSL サーバ証明
書の検証不備の脆弱性があります。結果として、第三者が、中間者攻撃によっ
て通信内容を取得したり、改ざんしたりするなどの可能性があります。

対象となるバージョンは次のとおりです。

- Tootdon for マストドン(Mastodon) 3.4.1 およびそれ以前のバージョン

この問題は、Tootdon for マストドン(Mastodon) を株式会社つくりとが提供
する修正済みのバージョンに更新することで解決します。詳細は、株式会社つ
くりとが提供する情報を参照してください。

関連文書 (日本語)
株式会社つくりと
「Tootdon for Mastodon」Android版におけるSSLサーバ証明書の検証不備の脆弱性に関するお知らせ
http://blog.mastodon-tootdon.com/entry/2019/05/20/204019

【6】Microsoft Windows タスクスケジューラにおける権限昇格の脆弱性

情報源
Japan Vulnerability Notes JVNVU#93881163
Microsoft Windows タスクスケジューラにおける権限昇格の脆弱性
https://jvn.jp/vu/JVNVU93881163/

概要
Microsoft Windows には、権限昇格の脆弱性があります。結果として、一般ユー
ザ権限を持つ攻撃者が、保護されたファイルに対するフルアクセス権限を取得
し、システムを改ざんする可能性があります。

対象となる製品は次のとおりです。

- Windows 10 32ビット版 および 64ビット版
- Windows Server 2019
- Windows Server 2016
- Windows 8

2019年5月28日現在、この問題に対する解決策は提供されていません。
Microsoft などの情報を確認し、対策の施されたバージョンが公開されている
場合は速やかに適用することをおすすめします。

関連文書 (英語)
CERT/CC Vulnerability Note VU#119704
Microsoft Windows Task Scheduler SetJobFileSecurityByName privilege escalation vulnerability
https://www.kb.cert.org/vuls/id/119704/

目 次 

【1】複数の Microsoft 製品に脆弱性
【2】複数の Intel 製品に脆弱性
【3】複数の Adobe 製品に脆弱性
【4】複数の Cisco 製品に脆弱性
【5】複数の VMware 製品に脆弱性
【6】WhatsApp にバッファオーバーフローの脆弱性
【7】複数の Apple 製品に脆弱性
【8】Samba に検証不備の脆弱性
【今週のひとくちメモ】インターネットサービス提供事業者に対する「認証方法」に関するアンケート調査結果（速報）を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191901.html
https://www.jpcert.or.jp/wr/2019/wr191901.xml
============================================================================

【1】複数の Microsoft 製品に脆弱性

情報源
US-CERT Current Activity
Microsoft Releases May 2019 Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/05/14/Microsoft-Releases-May-2019-Security-Updates

US-CERT Current Activity
Microsoft Releases Security Updates to Address Remote Code Execution Vulnerability
https://www.us-cert.gov/ncas/current-activity/2019/05/16/Microsoft-Releases-Security-Updates-Address-Remote-Code-Execution

概要
複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Internet Explorer
- Microsoft Edge
- Microsoft Office、Microsoft Office Services および Web Apps
- Team Foundation Server
- Visual Studio
- Azure DevOps Server
- SQL Server
- .NET Framework
- .NET Core
- ASP.NET Core
- ChakraCore
- Online Services
- Azure
- NuGet
- Skype for Android

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト株式会社
2019 年 5 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/e5989c8b-7046-e911-a98e-000d3a33a34d

JPCERT/CC 注意喚起
2019年 5月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2019/at190023.html

JPCERT/CC CyberNewsFlash
リモートデスクトップサービスにおける脆弱性 CVE-2019-0708 について
https://www.jpcert.or.jp/newsflash/2019051501.html

【2】複数の Intel 製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#92328381
Intel 製品に複数の脆弱性
https://jvn.jp/vu/JVNVU92328381/

US-CERT Current Activity
Intel Releases Security Updates, Mitigations for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/05/14/Intel-Releases-Security-Updates-Mitigations-Multiple-Products

概要
複数の Intel 製品には、脆弱性があります。結果として、遠隔の第三者が、
サービス運用妨害 (DoS) 攻撃を行ったり、情報を窃取したりするなどの可能
性があります。

影響を受ける製品やバージョンは多岐に渡ります。対象製品の詳細は、Intel
が提供するアドバイザリ情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Intel 製品の複数の脆弱性 (INTEL-SA-00213) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190024.html

JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2019051503.html

関連文書 (英語)
Intel
INTEL-SA-00204 Intel PROSet/Wireless WiFi Software Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00204.html

Intel
INTEL-SA-00213 Intel CSME, Intel SPS, Intel TXE, Intel DAL, and Intel AMT 2019.1 QSR Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00213.html

Intel
INTEL-SA-00218 Intel Graphics Driver for Windows 2019.1 QSR Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00218.html

Intel
INTEL-SA-00223 2019.1 QSR UEFI Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00223.html

Intel
INTEL-SA-00228 Intel Unite Client Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00228.html

Intel
INTEL-SA-00233 Microarchitectural Data Sampling Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00233.html

Intel
INTEL-SA-00234 Intel SCS Discovery Utility and Intel ACU Wizard Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00234.html

Intel
INTEL-SA-00244 Intel Quartus Software Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00244.html

Intel
INTEL-SA-00251 Intel NUC Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00251.html

Intel
INTEL-SA-00252 Intel Driver & Support Assistant Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00252.html

Intel
SA00233 Microcode Update Guidance
https://www.intel.com/content/dam/www/public/us/en/documents/corporate-information/SA00233-microcode-update-guidance_05132019.pdf

Intel
Side Channel Vulnerability Microarchitectural Data Sampling
https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html

【3】複数の Adobe 製品に脆弱性

情報源
US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/05/14/Adobe-Releases-Security-Updates

概要
複数の Adobe 製品には、脆弱性があります。結果として、第三者が、任意の
コードを実行したり、情報を窃取したりするなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Flash Player Desktop Runtime (32.0.0.171) およびそれ以前 (Windows, macOS および Linux)
- Adobe Flash Player for Google Chrome (32.0.0.171) およびそれ以前 (Windows, macOS, Linux および Chrome OS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.171) およびそれ以前 (Windows 10 および Windows 8.1)
- Adobe Acrobat Reader DC Continuous (2019.010.20099) およびそれ以前 (Windows, macOS)
- Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30138) およびそれ以前 (Windows, macOS)
- Adobe Acrobat Reader DC Classic 2015 (2015.006.30493) およびそれ以前 (Windows, macOS)
- Adobe Acrobat DC Continuous (2019.010.20100) およびそれ以前 (Windows, macOS)
- Adobe Acrobat 2017 Classic 2017 (2017.011.30140) およびそれ以前 (Windows, macOS)
- Adobe Acrobat DC Classic 2015 (2015.006.30495) およびそれ以前 (Windows, macOS)
- Adobe Media Encoder 13.0.2 (Windows, macOS)

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新
することで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)
Adobe
Adobe Acrobat および Reader に関するセキュリティ速報 | APSB19-18
https://helpx.adobe.com/jp/security/products/acrobat/apsb19-18.html

Adobe
Adobe Flash Player に関するセキュリティ速報 | APSB19-26
https://helpx.adobe.com/jp/security/products/flash-player/apsb19-26.html

Adobe
Adobe Media Encoder に関するセキュリティアップデート公開 | APSB19-29
https://helpx.adobe.com/jp/security/products/media-encoder/apsb19-29.html

JPCERT/CC 注意喚起
Adobe Flash Player の脆弱性 (APSB19-26) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190021.html

JPCERT/CC 注意喚起
Adobe Acrobat および Reader の脆弱性 (APSB19-18) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190022.html

JPCERT/CC CyberNewsFlash
Adobe 製品のアップデート (APSB19-29) について
https://www.jpcert.or.jp/newsflash/2019051502.html

【4】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2019/05/15/Cisco-Releases-Multiple-Security-Updates

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/05/13/Cisco-Releases-Security-Updates

CERT/CC Vulnerability Note VU#400865
Cisco Trust Anchor module (TAm) improperly checks code and Cisco IOS XE web UI does not sanitize user input
https://www.kb.cert.org/vuls/id/400865/

Japan Vulnerability Notes JVNVU#97735735
Cisco トラストアンカーモジュール (TAm) におけるコード検証不備および Cisco IOS XE Web UI におけるユーザ入力検証不備の脆弱性
https://jvn.jp/vu/JVNVU97735735/

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
管理者権限で任意のコードやコマンドを実行したりするなどの可能性がありま
す。

影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで
す。 (cisco-sa-20190513-securebootを除く)

- MDS 9000 Series Multilayer Switches
- Nexus 1000V Switch for Microsoft Hyper-V
- Nexus 1000V Switch for VMware vSphere
- Nexus 3000 Series Switches
- Nexus 3500 Platform Switches
- Nexus 5500 Platform Switches
- Nexus 5600 Platform Switches
- Nexus 6000 Series Switches
- Nexus 7000 Series Switches
- Nexus 7700 Series Switches
- Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) mode
- Nexus 9000 Series Switches in standalone NX-OS mode
- Nexus 9500 R-Series Switching Platform
- Cisco Prime Infrastructure
- Cisco Evolved Programmable Network Manager
- Cisco Aggregation Services Router (ASR) 9000 Series
- Cisco Webex Business Suite sites
- Cisco Webex Meetings Online
- Cisco Webex Meetings Server
- Small Business Sx200 Series Managed Switches
- Small Business Sx300 Series Managed Switches
- Small Business Sx500 Series Managed Switches
- Small Business ESW2 Series Managed Switches
- Small Business Sx250 Series Switches
- Small Business Sx350 Series Switches
- Small Business Sx550 Series Switches
- BGP MPLS-based EVI を使用している Cisco IOS XR Software
- HTTPサーバ機能を有効にしている Cisco IOS XE Software
- Cisco Video Surveillance Manager

※cisco-sa-20190513-secureboot の対象となる製品は非常に多岐にわたりま
す。対象製品の情報は、Cisco が提供するアドバイザリ情報「Cisco Secure
Boot Hardware Tampering Vulnerability」を参照してください。
また、上記製品以外にも、影響度 Medium および Informational の複数の脆
弱性情報が公開されています。これらの対象製品の情報は、Cisco が提供する
アドバイザリ情報を参照してください。

この問題は、該当する製品を、Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Secure Boot Hardware Tampering Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot

Cisco Security Advisory
Cisco FXOS and NX-OS Software Simple Network Management Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-nxos-snmp-dos

Cisco Security Advisory
Cisco Prime Infrastructure and Evolved Programmable Network Manager Remote Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-pi-rce

Cisco Security Advisory
Cisco IOS XR Software for Cisco ASR 9000 Series Aggregation Services Routers MPLS OAM Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-iosxr-mpls-dos

Cisco Security Advisory
Cisco Webex Network Recording Player Arbitrary Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-webex-player

Cisco Security Advisory
Cisco Small Business Series Switches Simple Network Management Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-sb-snmpdos

Cisco Security Advisory
Cisco Prime Infrastructure and Evolved Programmable Network Manager SQL Injection Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-pi-sqlinject

Cisco Security Advisory
Cisco IOS XR Software BGP MPLS-Based EVPN Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-iosxr-evpn-dos

Cisco Security Advisory
Cisco Video Surveillance Manager Web-Based Management Interface Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-cvsm

Cisco Security Advisory
Cisco IOS XE Software Web UI Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui

【5】複数の VMware 製品に脆弱性

情報源
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/05/14/VMware-Releases-Security-Updates

概要
複数の VMware 製品には、脆弱性があります。結果として、第三者が、
Workstation がインストールされている Windows ホスト上で権限昇格を行う
などの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware Workstation Pro / Player 15.1.0 より前の 15 系のバージョン
- VMware vCenter Server 6.7 U2a より前の 6.7 系のバージョン
- VMware vCenter Server 6.5 U2g より前の 6.5 系のバージョン
- VMware vCenter Server 6.0 U3i より前の 6.0 系のバージョン
- VMware vSphere ESXi 6.7 系のバージョン
- VMware vSphere ESXi 6.5 系のバージョン
- VMware vSphere ESXi 6.0 系のバージョン
- VMware Workstation 15.1.0 より前の 15 系のバージョン
- VMware Fusion 11.1.0 より前の 11 系のバージョン
- vCloud Usage Meter (UM)
- Identity Manager (vIDM)
- vCenter Server (vCSA)
- vSphere Data Protection (VDP)
- vSphere Integrated Containers (VIC)
- vRealize Automation (vRA)

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
するか、パッチを適用することで解決します。詳細は、VMware が提供する情
報を参照してください。

関連文書 (英語)
VMware Security Advisories
VMSA-2019-0007
https://www.vmware.com/security/advisories/VMSA-2019-0007.html

VMware Security Advisories
VMSA-2019-0008
https://www.vmware.com/security/advisories/VMSA-2019-0008.html

【6】WhatsApp にバッファオーバーフローの脆弱性

情報源
US-CERT Current Activity
Facebook Releases Security Advisory for WhatsApp
https://www.us-cert.gov/ncas/current-activity/2019/05/14/Facebook-Releases-Security-Advisory-WhatsApp

概要
メッセンジャーアプリケーションの WhatsApp には、バッファオーバーフロー
の脆弱性があります。結果として、遠隔の第三者が、細工した SRTCP パケッ
トを対象となる電話番号に送信することで任意のコードを実行する可能性があ
ります。

対象となる製品は次のとおりです。

- WhatsApp (Android 版) v2.19.134 より前のバージョン
- WhatsApp Business (Android 版) v2.19.44 より前のバージョン
- WhatsApp (iOS 版) v2.19.51 より前のバージョン
- WhatsApp Business (iOS 版) v2.19.51 より前のバージョン
- WhatsApp (Windows Phone 版) v2.18.348 より前のバージョン
- WhatsApp (Tizen 版) v2.18.15 より前のバージョン

この問題は、WhatsApp を、WhatsApp が提供する修正済みのバージョンに更新
することで解決します。詳細は、Facebook が提供する情報を参照してくださ
い。

関連文書 (英語)
Facebook
CVE-2019-3568
https://www.facebook.com/security/advisories/cve-2019-3568

【7】複数の Apple 製品に脆弱性

情報源
US-CERT Current Activity
Apple Releases Multiple Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/05/14/Apple-Releases-Multiple-Security-Updates

Japan Vulnerability Notes JVNVU#93988385
複数の Apple 製品における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU93988385/

概要
複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS攻撃) を実行したりする
など可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 12.3 より前のバージョン
- Safari 12.1.1 より前のバージョン
- Apple TV Software 7.3 より前のバージョン
- tvOS 12.3 より前のバージョン
- watchOS 5.2.1 より前のバージョン
- macOS Mojave 10.14.5 より前のバージョン
- High Sierra (Security Update 2019-003 未適用)
- Sierra (Security Update 2019-003 未適用)

この問題は、該当する製品を、Apple が提供する修正済みのバージョンに更新
することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書 (日本語)
Apple
iOS 12.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210118

Apple
macOS Mojave 10.14.5、セキュリティアップデート 2019-003 High Sierra、セキュリティアップデート 2019-003 Sierra のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210119

Apple
tvOS 12.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210120

Apple
Apple TV ソフトウェア 7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210121

Apple
watchOS 5.2.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210122

Apple
Safari 12.1.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT210123

【8】Samba に検証不備の脆弱性

情報源
US-CERT Current Activity
Samba Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/05/14/Samba-Releases-Security-Updates

概要
Samba には、検証不備の脆弱性があります。結果として、中間者攻撃が可能な
第三者が、KDC リクエスト内のユーザ名を書き換えることで機微な情報を窃取
するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Samba 4.10.3 より前のバージョン
- Samba 4.9.8 より前のバージョン
- Samba 4.8.12 より前のバージョン

この問題は、Samba を The Samba Team が提供する修正済みのバージョンに更
新するか、パッチを適用することで解決します。詳細は、The Samba Team が
提供する情報を参照してください。

関連文書 (英語)
The Samba Team
Samba AD DC S4U2Self/S4U2Proxy unkeyed checksum
https://www.samba.org/samba/security/CVE-2018-16860.html

目 次 

【1】Cisco Elastic Services Controller に認証回避の脆弱性
【2】Drupal にパストラバーサルの脆弱性
【3】電子申請・届出アプリケーション オンライン版のインストーラおよびオフライン版に DLL 読み込みの脆弱性
【4】Android アプリ「クリエイトＳＤ公式アプリ」にアクセス制限不備の脆弱性
【今週のひとくちメモ】APCERT Annual Report 2018 公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191801.html
https://www.jpcert.or.jp/wr/2019/wr191801.xml
============================================================================

【1】Cisco Elastic Services Controller に認証回避の脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Update for Elastic Services Controller
https://www.us-cert.gov/ncas/current-activity/2019/05/07/Cisco-Releases-Security-Update-Elastic-Services-Controller

概要
Cisco Elastic Services Controller には、認証回避の脆弱性があります。結
果として、遠隔の第三者が、管理者権限で任意の操作を実行する可能性があり
ます。

対象となるバージョンは次のとおりです。

- REST API が有効になっている Cisco Elastic Services Controller 4.1、4.2、4.3、4.4

この問題は、Cisco Elastic Services Controller を、Cisco が提供する修正
済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情
報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Elastic Services Controller REST API Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190507-esc-authbypass

【2】Drupal にパストラバーサルの脆弱性

情報源
US-CERT Current Activity
Drupal Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2019/05/09/Drupal-Releases-Security-Update

概要
Drupal には、パストラバーサルの脆弱性があります。 結果として、遠隔の第
三者がセキュリティ機能を回避し、任意のパスにアクセスする可能性がありま
す。

対象となるバージョンは次のとおりです。

- Drupal 8.7.1 より前の 8.7 系
- Drupal 8.6.16 より前の 8.6 系
- Drupal 7.67 より前の 7 系

なお、Drupal 8.6 系より前の 8 系のバージョンは、サポートが終了していま
す。

この問題は、Drupal を Drupal が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Drupal が提供する情報を参照してください。

関連文書 (英語)
Drupal
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2019-007
https://www.drupal.org/sa-core-2019-007

【3】電子申請・届出アプリケーション オンライン版のインストーラおよびオフライン版に DLL 読み込みの脆弱性

情報源
Japan Vulnerability Notes JVN#91361851
電子申請・届出アプリケーション オンライン版のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN91361851/

Japan Vulnerability Notes JVN#69903953
電子申請・届出アプリケーション オフライン版における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN69903953/

概要
電子申請・届出アプリケーション オンライン版のインストーラおよびオフラ
イン版には、DLL 読み込みに関する脆弱性があります。結果として、第三者が
任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- 電子申請・届出アプリケーション オンライン版 1.0.9.0 およびそれ以前
- 電子申請・届出アプリケーション オフライン版 1.0.9.0 およびそれ以前

この問題は、電子申請・届出アプリケーション オフライン版については、総
務省が提供する修正済みのバージョンに更新することで解決します。また、オン
ライン版については、総務省が提供する最新のインストーラを使用することで
解決します。詳細は、総務省が提供する情報を参照してください。

関連文書 (日本語)
総務省
総務省 電波利用 電子申請・届出システム | オンライン版インストーラのダウンロード
https://www.denpa.soumu.go.jp/public/prog/onlineInstaller_download.html

総務省
総務省 電波利用 電子申請・届出システム | オフライン版インストーラのダウンロード
https://www.denpa.soumu.go.jp/public/prog/offlineInstaller_download.html

【4】Android アプリ「クリエイトＳＤ公式アプリ」にアクセス制限不備の脆弱性

情報源
Japan Vulnerability Notes JVN#87655507
Android アプリ「クリエイトＳＤ公式アプリ」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN87655507/

概要
Android アプリ「クリエイトＳＤ公式アプリ」には、アクセス制限不備の脆弱
性があります。結果として、遠隔の第三者が、当該製品のユーザを任意のウェ
ブサイトにアクセスさせる可能性があります。

対象となるバージョンは次のとおりです。

- クリエイトＳＤ公式アプリ バージョン 1.0.2 およびそれ以前

この問題は、クリエイトＳＤ公式アプリを株式会社クリエイトエス・ディーが
提供する修正済みのバージョンに更新することで解決します。詳細は、株式会
社クリエイトエス・ディーが提供する情報を参照してください。

関連文書 (日本語)
株式会社クリエイトエス・ディー
「クリエイトＳＤ公式アプリ」脆弱性に関するお知らせ
https://www.create-sd.co.jp/Portals/0/pdf/appsec.pdf

目 次 

【1】Google Chrome に複数の脆弱性
【2】ISC BIND 9 に複数の脆弱性
【3】Oracle WebLogic Server に安全でないデシリアライゼーションの脆弱性
【4】複数の Cisco 製品に脆弱性
【5】PrinterLogic Print Management Software に複数の脆弱性
【6】サイボウズ Garoon に複数の脆弱性
【7】PHP に複数の脆弱性

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2019/wr191701.html
https://www.jpcert.or.jp/wr/2019/wr191701.xml
============================================================================

【1】Google Chrome に複数の脆弱性

情報源
US-CERT Current Activity
Google Releases Security Update for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/04/23/Google-Releases-Security-Update-Chrome-0

US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2019/04/30/Google-Releases-Security-Updates-Chrome

概要
Google Chrome には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 74.0.3729.131 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョンに更
新することで解決します。詳細は、Google が提供する情報を参照してくださ
い。

関連文書 (英語)
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/04/stable-channel-update-for-desktop_23.html

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2019/04/stable-channel-update-for-desktop_30.html

【2】ISC BIND 9 に複数の脆弱性

情報源
US-CERT Current Activity
ISC Releases BIND Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/04/25/ICS-Releases-BIND-Security-Updates

概要
ISC BIND 9 には、複数の脆弱性があります。 結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- BIND 9.14.0
- BIND 9.12 系 9.12.0 から 9.12.4 まで
- BIND 9.11 系 9.11.0 から 9.11.6 まで
- BIND Supported Preview Edition 9.9.3-S1 から 9.11.5-S5 まで

この問題は、ISC BIND 9 を ISC が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)
株式会社日本レジストリサービス (JPRS)
（緊急）BIND 9.xの脆弱性（ファイル記述子の過度な消費）について
（CVE-2018-5743） - フルリゾルバー（キャッシュDNSサーバー）／権威DNSサーバーの双方が対象、バージョンアップを強く推奨
https://jprs.jp/tech/security/2019-04-25-bind9-vuln-tcp-clients.html

株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2019-6467）
- - nxdomain-redirect機能を有効にしている場合のみ対象、バージョンアップを推奨
https://jprs.jp/tech/security/2019-04-25-bind9-vuln-nxdomain-redirect.html

Japan Vulnerability Notes JVNVU#99876126
ISC BIND 9 に複数の脆弱性
https://jvn.jp/vu/JVNVU99876126/

JPCERT/CC
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190019.html

関連文書 (英語)
Internet Systems Consortium, Inc. (ISC)
CVE-2018-5743: Limiting simultaneous TCP clients is ineffective
https://kb.isc.org/docs/cve-2018-5743

Internet Systems Consortium, Inc. (ISC)
CVE-2019-6467: An error in the nxdomain redirect feature can cause BIND to exit with an INSIST assertion failure in query.c
https://kb.isc.org/docs/cve-2019-6467

Internet Systems Consortium, Inc. (ISC)
CVE-2019-6468: BIND Supported Preview Edition can exit with an assertion failure if nxdomain-redirect is used
https://kb.isc.org/docs/cve-2019-6468

Internet Systems Consortium, Inc. (ISC)
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913

【3】Oracle WebLogic Server に安全でないデシリアライゼーションの脆弱性

情報源
US-CERT Current Activity
Oracle Releases Security Alert
https://www.us-cert.gov/ncas/current-activity/2019/04/26/Oracle-Releases-Security-Alert

概要
Oracle WebLogic Server には、安全でないデシリアライゼーションの脆弱性
があります。結果として、遠隔の第三者が任意のコードを実行する可能性があ
ります。

対象となるバージョンは次のとおりです。

- Oracle WebLogic Server 12.1.3.0
- Oracle WebLogic Server 10.3.6.0

この問題は、Oracle WebLogic Server を Oracle が提供する修正済みのバー
ジョンに更新することで解決します。詳細は、Oracle が提供する情報を参照
してください。

関連文書 (日本語)
JPCERT/CC
Oracle WebLogic Server の脆弱性 (CVE-2019-2725) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190020.html

JPCERT/CC
Oracle WebLogic Server の脆弱性 (CNVD-C-2019-48814) について
https://www.jpcert.or.jp/newsflash/2019042601.html

関連文書 (英語)
Oracle
Oracle Security Alert Advisory - CVE-2019-2725
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

Oracle
Security Alert CVE-2019-2725 Released
https://blogs.oracle.com/security/security-alert-cve-2019-2725-released

【4】複数の Cisco 製品に脆弱性

情報源
US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/05/01/Cisco-Releases-Security-Updates

概要
複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、
特権ユーザとしてアクセスしたり、サービス運用妨害 (DoS) 攻撃を行ったり
するなどの可能性があります。

影響度 Critical および High の脆弱性情報の対象となる製品は次のとおりで
す。

- Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) mode
- Cisco Adaptive Security Appliance (ASA) Software
- Cisco Firepower Threat Defense (FTD) Software
- Cisco Web Security Appliance (WSA)
- Cisco AsyncOS Software for Cisco Web Security Appliance
- Cisco Umbrella Dashboard（cloud based）
- Cisco Small Business Switches software
- Cisco Small Business RV320 Dual Gigabit WAN VPN Router
- Cisco Small Business RV325 Dual Gigabit WAN VPN Router
- Session Initiation Protocol (SIP) Software for Cisco IP Phone 7800 Series
- Session Initiation Protocol (SIP) Software for Cisco IP Phone 8800 Series
- Cisco Application Policy Infrastructure Controller (APIC) software

※上記製品以外にも、影響度 Medium および Informational の複数の脆弱性
情報が公開されています。これらの対象製品の情報は、Cisco が提供するアド
バイザリ情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
したり、回避策を適用したりすることで解決します。詳細は、Cisco が提供す
る情報を参照してください。

関連文書 (英語)
Cisco Security Advisory
Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Default SSH Key Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-nexus9k-sshkey

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Cisco Firepower Threat Defense Software TCP Timer Handling Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-frpwrtd-dos

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software WebVPN Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-sd-cpu-dos

Cisco Security Advisory
Cisco Firepower Threat Defense Software TCP Ingress Handler Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-firepower-dos

Cisco Security Advisory
Cisco Firepower Threat Defense Software SMB Protocol Preprocessor Detection Engine Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-frpwr-smb-snort

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Low-Entropy Keys Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-ftd-entropy

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software WebVPN Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-ftd-dos

Cisco Security Advisory
Cisco Firepower Threat Defense Software Packet Processing Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-frpwr-dos

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software VPN SAML Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asaftd-saml-vpn

Cisco Security Advisory
Cisco Adaptive Security Appliance Software and Cisco Firepower Threat Defense Software MOBIKE Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-ftd-ike-dos

Cisco Security Advisory
Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Root Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-nexus9k-rpe

Cisco Security Advisory
Cisco Web Security Appliance Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-wsa-privesc

Cisco Security Advisory
Cisco Web Security Appliance Malformed Request Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-wsa-dos

Cisco Security Advisory
Cisco Umbrella Dashboard Session Management Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-udb-sm

Cisco Security Advisory
Cisco Small Business Switches Secure Shell Certificate Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-scbv

Cisco Security Advisory
Cisco Small Business RV320 and RV325 Routers Session Hijacking Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-sbr-hijack

Cisco Security Advisory
Cisco IP Phone 7800 Series and 8800 Series Session Initiation Protocol XML Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-phone-sip-xml-dos

Cisco Security Advisory
Cisco Adaptive Security Appliance Software IPsec Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-ipsec-dos

Cisco Security Advisory
Cisco Adaptive Security Appliance Software Cross-Site Request Forgery Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-csrf

Cisco Security Advisory
Cisco Application Policy Infrastructure Controller Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-apic-priv-escalation

Cisco Security Advisory
Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Insecure Fabric Authentication Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-aci-insecure-fabric

Cisco Security Advisory
Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-aci-hw-clock-util

【5】PrinterLogic Print Management Software に複数の脆弱性

情報源
CERT/CC Vulnerability Note VU#169249
PrinterLogic Print Management Software fails to validate SSL certificates or the integrity of software updates.
https://www.kb.cert.org/vuls/id/169249/

概要
PrinterLogic Print Management Software には、複数の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- PrinterLogic Print Management Software 18.3.1.96 およびそれ以前のバージョン

2019年5月8日現在、PrinterLogic から修正済みのバージョンは提供されてい
ません。次の回避策を適用することで、本脆弱性の影響を軽減することが可能
です。

- VPN を使用し、中間者攻撃の可能性を低減させる
- PrinterLogic エージェントから実行可能なアプリケーションをホワイトリストで制限する

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90648875
PrinterLogic 製 Print Management software における SSL 証明書やソフトウェアアップデートの整合性の検証をしない脆弱性
https://jvn.jp/vu/JVNVU90648875/

関連文書 (英語)
US-CERT Current Activity
PrinterLogic Print Management Software Vulnerabilities
https://www.us-cert.gov/ncas/current-activity/2019/05/05/PrinterLogic-Print-Management-Software-Vulnerabilities

PrinterLogic
Print Management
https://www.printerlogic.com/enterprise-print-management/

【6】サイボウズ Garoon に複数の脆弱性

情報源
Japan Vulnerability Notes JVN#58849431
サイボウズ Garoon における複数の脆弱性
https://jvn.jp/jp/JVN58849431

概要
サイボウズ Garoon には、複数の脆弱性があります。結果として、当該製品に
アクセス可能な第三者が、ユーザのブラウザ上で任意のスクリプトを実行する
などの可能性があります。

対象となるバージョンは次のとおりです。

- サイボウズ Garoon 4.0.0 から 4.10.1 まで

この問題は、サイボウズ Garoon を サイボウズ株式会社が提供する修正済み
のバージョンに更新することで解決します。詳細は、サイボウズ株式会社が提
供する情報を参照してください。

関連文書 (日本語)
サイボウズ株式会社
パッケージ版 Garoon 脆弱性に関するお知らせ
https://cs.cybozu.co.jp/2019/006814.html

【7】PHP に複数の脆弱性

情報源
The PHP Group
PHP 7.3.5 Release Announcement
https://php.net/archive/2019.php#id2019-05-02-1

The PHP Group
PHP 7.2.18 Released
https://php.net/archive/2019.php#id2019-05-02-2

The PHP Group
PHP 7.1.29 Released
https://php.net/archive/2019.php#id2019-05-03-1

概要
PHP には、複数の脆弱性があります。結果として、第三者がサービス運用妨害
(DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- PHP 7.3.5 より前のバージョン
- PHP 7.2.18 より前のバージョン
- PHP 7.1.29 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ
さい。

関連文書 (英語)
The PHP Group
PHP 7 ChangeLog Version 7.3.5
http://www.php.net/ChangeLog-7.php#7.3.5

The PHP Group
PHP 7 ChangeLog Version 7.2.18
http://www.php.net/ChangeLog-7.php#7.2.18

The PHP Group
PHP 7 ChangeLog Version 7.1.29
http://www.php.net/ChangeLog-7.php#7.1.29