GrafanaのOSS版v7を使っていたのでOpensslの脆弱性対応

対応した脆弱性

OpenSSLの脆弱性（CVE-2021-3711、CVE-2021-3712）
https://www.jpcert.or.jp/at/2021/at210036.html

対策

Opensslのバージョンを1.1.1lに上げました。

手順

もともと私が使っていたDockerfileは↓のようにgrafana v7.7.2のイメージをDockerhubから取得していました。

FROM grafana/grafana:7.2.2

しかし、このイメージにはOpensslの古いバージョンが入っているので、脆弱性が含まれています。

なので、以下のようにOpensslをアップグレードさせました。

FROM grafana/grafana:7.2.2
USER root
RUN apk upgrade --update-cache --available && \
    rm -rf /var/cache/apk/*

あと、GrafanaのベースイメージではDockerのユーザはgrafanaとしているので、Dockerfileの最後でUSERをgrafanaに戻します。

USER grafana

このイメージをECRにPushしてスキャンしてみると、見事に脆弱性がなくなりました。

本対応は私なりの対応であり、もっと知見のある方からアドバイス頂けると嬉しく思います。

参考にしたサイト

• https://github.com/gliderlabs/docker-alpine/issues/466
• 
• https://github.com/grafana/grafana/pull/38597/files