💨
GrafanaのOSS版v7を使っていたのでOpensslの脆弱性対応
対応した脆弱性
OpenSSLの脆弱性(CVE-2021-3711、CVE-2021-3712)
対策
Opensslのバージョンを1.1.1lに上げました。
手順
もともと私が使っていたDockerfileは↓のようにgrafana v7.7.2のイメージをDockerhubから取得していました。
FROM grafana/grafana:7.2.2
しかし、このイメージにはOpensslの古いバージョンが入っているので、脆弱性が含まれています。
なので、以下のようにOpensslをアップグレードさせました。
FROM grafana/grafana:7.2.2
USER root
RUN apk upgrade --update-cache --available && \
rm -rf /var/cache/apk/*
あと、GrafanaのベースイメージではDockerのユーザはgrafanaとしているので、Dockerfileの最後でUSERをgrafanaに戻します。
USER grafana
このイメージをECRにPushしてスキャンしてみると、見事に脆弱性がなくなりました。
本対応は私なりの対応であり、もっと知見のある方からアドバイス頂けると嬉しく思います。
Discussion