El día de ayer me enteré, gracias a la lista de correo de seguridad de Arch Linux, de una vulnerabilidad severa en Grafana para las versiones previas a 5.3.2. Por ende procedí a actualizar mi instalación de Grafana.

Este artículo podría haberse titulado "Cómo actualizar Grafana en Debian".



La vulnerabilidad en cuestión permite leer cualquier archivo en el sistema de archivos sobre el que el proceso que corre Grafana tenga permisos de lectura.

Si recuerdan el tutorial de instalación de Grafana en GNU/Linux, este fue instalado directamente de paquete con dpkg (el gestor de paquetes de bajo nivel de los sistemas Debian y derivdados) habiendo descargando el archivo .deb del sitio Web oficial.

dpkg permite instalar, compilar,eliminar y gestionar paquetes de Debian. Aunque generalmente se utilizan interfaces a dpkg más amigables al usuario tales como apt o aptitude.

Actualmente tengo instalada la versión 5.2.3 (vulnerable) de Grafana:

root@debian:/usr/local/src# dpkg-query -W grafana
grafana 5.2.3

Descargar la versión estable actualizada del sitio oficial de descargas:

root@debian:/usr/local/src# wget https://s3-us-west-2.amazonaws.com/grafana-releases/release/grafana_5.3.4_amd64.deb
root@debian:/usr/local/src# ll grafana*
-rw-r--r-- 1 root staff 54479926 ago 22 05:38 grafana_5.2.3_amd64.deb
-rw-r--r-- 1 root staff 54782298 nov 13 09:32 grafana_5.3.4_amd64.deb

Actualizar un paquete ya instalado con dpkg es exactamente a instalarlo por primera vez. Simplemente ejecutar dpkg -i:

root@debian:/usr/local/src# dpkg -i grafana_5.3.4_amd64.deb 
(Reading database ... 110749 files and directories currently installed.)
Preparing to unpack grafana_5.3.4_amd64.deb ...
Unpacking grafana (5.3.4) over (5.2.3) ...
Setting up grafana (5.3.4) ...
[ ok rting grafana-server service...[....] Stopping Grafana Server:.
[ ok ] Starting Grafana Server:.
 OK

dpkg detecta que el paquete ya se encuentra instalado y lo reemplaza por el nuevo paquete (pasado como parámetro).

De esta forma se reemplaza la versión 5.2.3 por la nueva 5.3.4:

root@debian:/usr/local/src# dpkg-query -W grafana
grafana 5.3.4

Al refrescar el navegador, se comprueba que ahora estamos en la versión 5.3.4:

Referencias


Tal vez pueda interesarte


Compartí este artículo