カテゴリー: セキュリティ情報

「お知らせ」に掲載するセキュリティ情報です(アプリケーションの脆弱性など)。

Wireshark に複数の脆弱性

公開日: 2018/7/25

情報源

Wireshark
Wireshark 2.6.2, 2.4.8 and 2.2.16 Released
https://www.wireshark.org/news/20180718.html

概要

Wireshark には複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。
– Wireshark 2.6.2 より前のバージョン
– Wireshark 2.4.8 より前のバージョン
– Wireshark 2.2.16 より前のバージョン

この問題は、Wireshark を Wireshark が提供する修正済みのバージョンに更新することで解決します。詳細は、Wireshark が提供する情報を参照してください。

関連文書 (英語)

Wireshark
Wireshark 2.6.2 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-2.6.2.html

Wireshark
Wireshark 2.4.8 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-2.4.8.html
Wireshark
Wireshark 2.2.16 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-2.2.16.html

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2018-07-25」
https://www.jpcert.or.jp/wr/2018/wr182801.html

PHP に複数の脆弱性

公開日: 2018/7/25

情報源

The PHP Group
PHP 7.2.8 Released
https://secure.php.net/archive/2018.php#id2018-07-19-2

The PHP Group
PHP 7.1.20 Released
https://secure.php.net/archive/2018.php#id2018-07-20-2
The PHP Group
PHP 7.0.31 Released
https://secure.php.net/archive/2018.php#id2018-07-19-3
The PHP Group
PHP 5.6.37 Released
https://secure.php.net/archive/2018.php#id2018-07-20-1

概要

PHP には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。
– PHP 7.2.8 より前のバージョン
– PHP 7.1.20 より前のバージョン
– PHP 7.0.31 より前のバージョン
– PHP 5.6.37 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者や配布元が提供する情報を参照してください。

関連文書(英語)

The PHP Group
PHP 7 ChangeLog Version 7.2.8
http://www.php.net/ChangeLog-7.php#7.2.8

The PHP Group
PHP 7 ChangeLog Version 7.1.20
http://www.php.net/ChangeLog-7.php#7.1.20
The PHP Group
PHP 7 ChangeLog Version 7.0.31
http://www.php.net/ChangeLog-7.php#7.0.31
The PHP Group
PHP 5 ChangeLog Version 5.6.37
http://www.php.net/ChangeLog-5.php#5.6.37

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2018-07-25」
https://www.jpcert.or.jp/wr/2018/wr182801.html

 

2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起

JPCERT/CCからの「A2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起」をお知らせします。

各位
JPCERT-AT-2018-0029
JPCERT/CC
2018-07-18
<<< JPCERT/CC Alert 2018-07-11 >>>
2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2018/at180029.html

I. 概要

2018年7月17日(現地時間)、Oracle は、複数の製品に対するクリティカルパッ
チアップデートに関する情報を公開しました。

Oracle Critical Patch Update Advisory – July 2018
https://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

脆弱性を悪用された場合、リモートからの攻撃によってアプリケーションが不正終了したり、任意のコードが実行されたりするなどの恐れがあります。対象となる製品を利用している場合には、アップデートの適用等を検討してください。

II. 対象

対象となる製品とバージョンは次のとおりです。

– Java SE JDK/JRE 8 Update 172 およびそれ以前
– Java SE JDK/JRE 10.0.1 およびそれ以前
– Oracle Database Server 11.2.0.4
– Oracle Database Server 12.1.0.2
– Oracle Database Server 12.2.0.1
– Oracle Database Server 18.1
– Oracle Database Server 18.2
– Oracle WebLogic Server 10.3.6.0
– Oracle WebLogic Server 12.1.3.0
– Oracle WebLogic Server 12.2.1.2
– Oracle WebLogic Server 12.2.1.3

ただし、対象となる製品およびバージョンは多岐に渡りますので、正確な情報は Oracle の情報を参照してください。

また、PC に Java JRE がプリインストールされている場合や、サーバで使用するソフトウエア製品に、WebLogic を使用している場合もあります。利用中の PC やサーバに対象となる製品が含まれていないかについても確認してください。
なお、Oracle によると Java SE について、既に公式アップデートを終了している Java SE JDK/JRE 6 および 7 も脆弱性の影響を受けるとのことです。

III. 対策

Oracle からそれぞれの製品に対して、修正済みソフトウエアが公開されています。Java SE 及び WebLogic では、次のバージョンが公開されています。

– Java SE JDK/JRE 8 Update 181
– Java SE JDK/JRE 10.0.2
– Oracle Database Server 11.2.0.4 ※
– Oracle Database Server 12.1.0.2 ※
– Oracle Database Server 12.2.0.1 ※
– Oracle Database Server 18.1 ※
– Oracle Database Server 18.2 ※
– Oracle WebLogic Server 10.3.6.0 ※
– Oracle WebLogic Server 12.1.3.0 ※
– Oracle WebLogic Server 12.2.1.2 ※
– Oracle WebLogic Server 12.2.1.3 ※
* 対策が施されたパッチ情報の詳細については、7月18日時点の公開情報では確認できませんでしたので、Oracle 社等に確認してください。
製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。

また、32bit 版 JDK/JRE、64bit 版 JDK/JRE のいずれか、または両方がインストールされている場合がありますので、利用している JDK/JRE をご確認の上、修正済みソフトウエアを適用してください。

お使いの Java のバージョンは次のページで確認可能です。32bit 版、64bit 版の両方の Java をインストールしている場合は、それぞれ 32bit 版、64bit 版のブラウザでバージョンを確認してください。(Java がインストールされていない環境では、Java のインストールが要求される可能性があります。不要な場合は、インストールしないように注意してください。)
Java のバージョンの確認
https://www.java.com/ja/download/installed.jsp

IV. 参考情報

Oracle Corporation
Oracle Critical Patch Update Advisory – July 2018
https://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

Oracle Corporation
Release Notes for JDK 8 and JDK 8 Update Releases
http://www.oracle.com/technetwork/java/javase/8all-relnotes-2226344.html
Oracle Corporation
Java Development Kit 10 Release Notes
http://www.oracle.com/technetwork/java/javase/10u-relnotes-4108739.html
Oracle Corporation
Oracle Critical Patch Update for July 2018
https://blogs.oracle.com/portalsproactive/oracle-critical-patch-update-for-july-2018
日本オラクル株式会社
Oracle Java SEサポート・ロードマップ
http://www.oracle.com/technetwork/jp/java/eol-135779-ja.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

Adobe Reader および Acrobat の脆弱性 (APSB18-21) に関する注意喚起

JPCERT/CCからの「Alert: Adobe Reader および Acrobat の脆弱性 (APSB18-21) に関する注意喚起」をお知らせします。

各位
JPCERT-AT-2018-0026
JPCERT/CC
2018-07-11
<<< JPCERT/CC Alert 2018-07-11 >>>
Adobe Reader および Acrobat の脆弱性 (APSB18-21) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180026.html

I. 概要

PDF ファイル閲覧ソフトウエア Adobe Reader および PDF ファイル作成・変換ソフトウエア Adobe Acrobat には複数の脆弱性があります。脆弱性を悪用したコンテンツをユーザが開いた場合、リモートからの攻撃によって AdobeReader や Acrobat が不正終了したり、任意のコードが実行されたりする等の恐れがあります。脆弱性の詳細については、アドビの情報を確認してください。

アドビシステムズ株式会社
Security Bulletin for Adobe Acrobat and Reader | APSB18-21
https://helpx.adobe.com/security/products/acrobat/apsb18-21.html

II. 対象

対象となる製品とバージョンは次のとおりです。

– Adobe Acrobat Reader DC Continuous (2018.011.20040) およびそれ以前
– Adobe Acrobat Reader DC Classic 2015 (2015.006.30418) およびそれ以前
– Adobe Acrobat DC Continuous (2018.011.20040) およびそれ以前
– Adobe Acrobat DC Classic 2015 (2015.006.30418) およびそれ以前
– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30080) およびそれ以前
– Adobe Acrobat 2017 Classic 2017 (2017.011.30080) およびそれ以前

III. 対策

Adobe Reader および Acrobat を次の最新のバージョンに更新してください。

– Adobe Acrobat Reader DC Continuous (2018.011.20055)
– Adobe Acrobat Reader DC Classic 2015 (2015.006.30434)
– Adobe Acrobat DC Continuous (2018.011.20055)
– Adobe Acrobat DC Classic 2015 (2015.006.30434)
– Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30096)
– Adobe Acrobat 2017 Classic 2017 (2017.011.30096)

更新は、Adobe Reader および Acrobat の起動後、メニューより “ヘルプ (H)”の次に “アップデートの有無をチェック (U)” をクリックすることで実施できます。メニューからの更新が不可能な場合は、以下の URL から 最新の AdobeReader および Acrobat をダウンロードしてください。詳細は、アドビの情報をご確認ください。

Adobe.com – New downloads
https://supportdownloads.adobe.com/new.jsp

IV. 参考情報

アドビシステムズ株式会社
Security Bulletin for Adobe Acrobat and Reader | APSB18-21
https://helpx.adobe.com/security/products/acrobat/apsb18-21.html

アドビシステムズ株式会社
Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1581
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

Adobe Flash Player の脆弱性 (APSB18-24) に関する注意喚起

JPCERT/CCからの「JPCERT/CC Alert: Adobe Flash Player の脆弱性 (APSB18-16) に関する注意喚起」をお知らせします。

各位
JPCERT-AT-2018-0027
JPCERT/CC
2018-07-11
<<>>
JPCERT/CC Alert: Adobe Flash Player の脆弱性 (APSB18-16) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180020.html

I. 概要

アドビから Adobe Flash Player に関する脆弱性の情報 (APSB18-24) が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合、リモートからの攻撃によって、任意のコードが実行されたり、情報を窃取されたりする可能性があります。なお、脆弱性の詳細については、アドビの情報を確認してください。

アドビシステムズ株式会社
Security updates available for Flash Player | APSB18-24

https://helpx.adobe.com/security/products/flash-player/apsb18-24.html

II. 対象

対象となる製品とバージョンは次のとおりです。

– Adobe Flash Player Desktop Runtime (30.0.0.113) およびそれ以前
(Windows, Macintosh および Linux)
– Adobe Flash Player for Google Chrome (30.0.0.113) およびそれ以前
(Windows, Macintosh, Linux および Chrome OS)
– Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (30.0.0.113) およびそれ以前
(Windows 10 および Windows 8.1)

お使いの Adobe Flash Player のバージョンは、次のページで確認できます。

III. 対策

Adobe Flash Player を次の最新のバージョンに更新してください。

– Adobe Flash Player Desktop Runtime (30.0.0.134)
(Windows, Macintosh および Linux)
– Adobe Flash Player for Google Chrome (30.0.0.134)
(Windows, Macintosh, Linux および Chrome OS)
– Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (30.0.0.134)
(Windows 10 および Windows 8.1)
Adobe Flash Player ダウンロードセンター

https://get.adobe.com/jp/flashplayer/

ブラウザに同梱されているなど、アドビ以外の配布元より提供される場合には、配布元からの情報に注意してください。なお、次の製品については、アドビ以外の配布元より Adobe Flash Player のアップデートが提供されます。

– Microsoft Windows 10
– Microsoft Windows 8.1
– Google Chrome

マイクロソフト社からは、Windows Update などで最新の Adobe Flash Player
が更新プログラムとして提供されます。

ADV180017 | July 2018 Adobe Flash Security Update
https://portal.msrc.microsoft.com/en-US/eula

なお、ブラウザ以外にも Microsoft Office のように、Adobe Flash Player を使用するソフトウエアがあります。ブラウザにて Adobe Flash Player を利用していない場合などでも、アップデートを行ってください。

IV. 回避策

アップデートを適用するまでの間は、脆弱性の影響を軽減するため、次に記載する回避策を参考に、Flash を無効にしたり、Flash を利用したコンテンツの表示を制限することも検討してください。
なお、回避策を適用することで、一部アプリケーションが動作しなくなるなどの不具合が発生する可能性があります。
回避策の適用については、十分に影響範囲を考慮の上、行ってください。

– 信頼できない Flash コンテンツを表示しない
ブラウザ上で Flash を無効に設定してください。または、Click-to-Play 機能
を有効にしてください。Microsoft Office では保護モードを有効とすることで
影響を回避することができます。

V. 参考情報

アドビシステムズ株式会社
Security updates available for Flash Player | APSB18-24
https://helpx.adobe.com/security/products/flash-player/apsb18-24.html

アドビシステムズ株式会社
Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1581
マイクロソフト株式会社
Microsoft Edge における Flash Player の有効・無効
https://answers.microsoft.com/ja-JP/windows/wiki/apps_windows_10-msedge/microsoft-edge/248bf728-44f4-4b4a-ae50-8b66ee7a96ca
マイクロソフト株式会社
ADV180017 | July 2018 Adobe Flash Security Update
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180017
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

Apple Boot Camp の Wi-Fi 機能に脆弱性

最終更新日: 2018/07/11

情報源

US-CERT Current Activity
Apple Releases Security Update for Boot Camp
https://www.us-cert.gov/ncas/current-activity/2018/07/06/Apple-Releases-Security-Update-Boot-Camp

概要

複数の Apple 製品における Boot Camp の Wi-Fi 機能には、脆弱性があります。結果として、遠隔の第三者が、中間者攻撃によって暗号通信を盗聴するなどの可能性があります。

対象となる製品は次のとおりです。

– MacBook (Late 2009 およびそれ以降のモデル)
– MacBook Pro (Mid 2010 およびそれ以降のモデル)
– MacBook Air (Late 2010 およびそれ以降のモデル)
– Mac mini (Mid 2010 およびそれ以降のモデル)
– iMac (Late 2009 およびそれ以降のモデル)
– Mac Pro (Mid 2010 およびそれ以降のモデル)

この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新することで解決します。詳細は、Apple が提供する情報を参照してください。

関連文書(日本語)

Japan Vulnerability Notes JVNVU#94846424
Apple Boot Camp の Wi-Fi 機能に対するアップデート
https://jvn.jp/vu/JVNVU94846424/

関連文書(英語)

Apple
About the security content of Wi-Fi Update for Boot Camp 6.4.0
https://support.apple.com/en-us/HT208847

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2018-07-11」
https://www.jpcert.or.jp/wr/2018/wr182601.html

 

Mozilla Thunderbird に複数の脆弱性

最終更新日: 2018/07/11

情報源

US-CERT Current Activity
Mozilla Releases Security Update for Thunderbird
https://www.us-cert.gov/ncas/current-activity/2018/07/03/Mozilla-Releases-Security-Update-Thunderbird

概要

Mozilla Thunderbird には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。

対象となるバージョンは次のとおりです。

– Mozilla Thunderbird 52.9 より前のバージョン

この問題は、Mozilla Thunderbird を Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してく
ださい。

関連文書(英語)

Mozilla
Security vulnerabilities fixed in Thunderbird 52.9
https://www.mozilla.org/en-US/security/advisories/mfsa2018-18/

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2018-07-11」
https://www.jpcert.or.jp/wr/2018/wr182601.html

 

Adobe Reader および Acrobat の脆弱性 (APSB18-09) に関する注意喚起

 JPCERT/CCからの「Adobe Reader および Acrobat の脆弱性 (APSB18-09) に関する注意喚起」をお知らせします。

各位

JPCERT-AT-2018-0006
JPCERT/CC
2018-02-14

<<< JPCERT/CC Alert 2018-02-14 >>>
Adobe Reader および Acrobat の脆弱性 (APSB18-09) に関する注意喚起https://www.jpcert.or.jp/at/2018/at180022.html

I. 概要

PDF ファイル閲覧ソフトウエア Adobe Reader および PDF ファイル作成・変換ソフトウエア Adobe Acrobat には複数の脆弱性があります。脆弱性を悪用したコンテンツをユーザが開いた場合、リモートからの攻撃によって Adobe Reader やAcrobat が不正終了したり、任意のコードが実行されたりする恐れがあります。
脆弱性の詳細については、アドビの情報を確認してください。

Security updates available for Adobe Acrobat and Reader | APSB18-09
https://helpx.adobe.com/security/products/acrobat/apsb18-09.html

II. 対象

対象となる製品とバージョンは次のとおりです。

– Adobe Acrobat Reader DC Consumer (2018.011.20038) およびそれ以前
– Adobe Acrobat Reader DC Classic 2015 (2015.006.30417)およびそれ以前
– Adobe Acrobat DC Consumer (2018.011.20038) およびそれ以前
– Adobe Acrobat DC Classic 2015 (2015.006.30417) およびそれ以前
– Adobe Acrobat Reader 2017 (2017.011.30079) およびそれ以前
– Adobe Acrobat 2017 (2017.011.30079) およびそれ以前

III. 対策

Adobe Reader および Acrobat を次の最新のバージョンに更新してください。

– Adobe Acrobat Reader DC Consumer (2018.011.20040)
– Adobe Acrobat Reader DC Classic 2015 (2015.006.30418)
– Adobe Acrobat DC Consumer (2018.011.20040)
– Adobe Acrobat DC Classic 2015 (2015.006.30418)
– Adobe Acrobat Reader 2017 (2017.011.30080)
– Adobe Acrobat 2017 (2017.011.30080)

更新は、Adobe Reader および Acrobat の起動後、メニューより “ヘルプ (H)” の次に “アップデートの有無をチェック (U)” をクリックすることで実施できます。メニューからの更新が不可能な場合は、以下の URL から 最新の Adobe Reader および Acrobat をダウンロードしてください。詳細は、アドビの情報をご確認ください。

Adobe.com – New downloads
https://supportdownloads.adobe.com/new.jsp

IV. 参考情報

アドビシステムズ株式会社
Security updates available for Adobe Acrobat and Reader | APSB18-09
https://helpx.adobe.com/security/products/acrobat/apsb18-09.html

アドビシステムズ株式会社
Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1553
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

複数の WordPress 用プラグインにクロスサイトスクリプティングの脆弱性

最終更新日: 2018/05/09

情報源

Japan Vulnerability Notes JVN#85531148
WordPress 用プラグイン Events Manager におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN85531148/

Japan Vulnerability Notes JVN#01040170

WordPress 用プラグイン WP Google Map Plugin におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN01040170/

Japan Vulnerability Notes JVN#61081552

WordPress 用プラグイン PixelYourSite におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN61081552/

Japan Vulnerability Notes JVN#08386386

WordPress 用プラグイン Open Graph for Facebook, Google+ and Twitter Card Tags におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN08386386/

概要

複数の WordPress 用プラグインには、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となる製品およびバージョンは以下のとおりです。

– Events Manager 5.9 より前のバージョン
– WP Google Map Plugin 4.0.4 より前のバージョン
– PixelYourSite 5.3.0 より前のバージョン
– Open Graph for Facebook, Google+ and Twitter Card Tags 2.2.4.1 より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書(英語)

Events Manager

Changelog
https://wordpress.org/plugins/events-manager/#developers

WP Google Map Plugin

Changelog
https://wordpress.org/plugins/wp-google-map-plugin/#developers

PixelYourSite

Changelog
https://wordpress.org/plugins/pixelyoursite/#developers

Open Graph for Facebook, Google+ and Twitter Card Tags

Changelog
https://wordpress.org/plugins/wonderm00ns-simple-facebook-open-graph-tags/#developers

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2018-05-09」
https://www.jpcert.or.jp/wr/2018/wr181701.html

 

PHP に複数の脆弱性

最終更新日: 2018/05/09

情報源

US-CERT Current Activity
MS-ISAC Releases Advisory on PHP Vulnerabilities
https://www.us-cert.gov/ncas/current-activity/2018/04/27/MS-ISAC-Releases-Advisory-PHP-Vulnerabilities

概要

PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となるバージョンは以下のとおりです。

– PHP 7.2.5 より前のバージョン
– PHP 7.1.17 より前のバージョン
– PHP 7.0.30 より前のバージョン
– PHP 5.6.36 より前のバージョン

この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者や配布元が提供する情報を参照してください。

関連文書(英語)

The PHP Group

PHP 7 ChangeLog Version 7.2.5
http://www.php.net/ChangeLog-7.php#7.2.5

The PHP GroupApple

PHP 7 ChangeLog Version 7.1.17
http://www.php.net/ChangeLog-7.php#7.1.17

The PHP Group

PHP 7 ChangeLog Version 7.0.30
http://www.php.net/ChangeLog-7.php#7.0.30

The PHP Group

PHP 5 ChangeLog Version 5.6.36
http://www.php.net/ChangeLog-5.php#5.6.36

Center for Internet Security

Multiple Vulnerabilities in PHP Could Allow for Arbitrary Code Execution
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2018-046/

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2018-05-09」
https://www.jpcert.or.jp/wr/2018/wr181701.html