昨天看到阿里云发了公告，Grafana 有个0day，阿里那边复现了，可在不需要认证的情况下读任意文件，当时Grafana还没发新版本，今天看到发了新版本，记录一下容器版grafana升级.

公告

CVE-2021-43798

影响版本：

Grafana 8.0.0-beta1 到 8.3.0

升级

备份数据

$ docker ps 
CONTAINER ID   IMAGE                    COMMAND                  CREATED          STATUS          PORTS                    NAMES
3ba9c7abb4c9   grafana/grafana          "/run.sh"                11 minutes ago   Up 11 minutes   0.0.0.0:3000->3000/tcp   grafana

$ docker inspect --format='{{.GraphDriver.Data.MergedDir}}' grafana 
/opt/data/docker/overlay2/1e9aa8d61bb34ab93bc429390d98762077f72ce69b20b2d9c55b9f67800c91ae/merged

$ cd /opt/data/docker/overlay2/1e9aa8d61bb34ab93bc429390d98762077f72ce69b20b2d9c55b9f67800c91ae/merged/var/lib/grafana/

$ cp grafana.db ~/

拉新镜像

$ docker pull grafana/grafana:latest
# v8.3.1

升级镜像并将数据导入

这次启动我把数据目录映射了出来，权限问题需要改一下

chown -R 472.472 /opt/data/grafana/
docker run -d --name=grafana --restart=always -p 3000:3000 -v /opt/data/grafana/:/var/lib/grafana grafana/grafana
docker stop grafana
cp ~/grafana.db /opt/data/grafana/
docker start grafana