Vaultwarden 1.36.0: Upgrade-Guide

Self-Hosting bedeutet, dass Sie Ihr eigenes Sicherheitsteam sind.

In der Cloud behebt ein Unternehmen Sicherheitslücken, bevor Sie sie bemerken. Bei Vaultwarden tragen Sie das Risiko selbst. Wenn Sie Updates überspringen, setzen Sie sich bekannten Schwachstellen aus.

Vaultwarden 1.36.0 behebt zwei kritische Bereiche: • Authentifizierung des Admin-Panels. • Handhabung von Session-Token.

Das Admin-Panel ist ein häufiges Ziel. Viele Nutzer betreiben es auf einer öffentlichen Subdomain. Wenn Sie den Pfad /admin nicht auf Ihrer Proxy-Ebene blockieren, besteht ein Sicherheitsrisiko.

Wichtige Verbesserungen in 1.36.0:

• Serverseitiges Rate Limiting: Die Anwendung übernimmt das Rate Limiting nun intern. Sie ist nicht mehr ausschließlich auf Ihre Nginx- oder Caddy-Konfiguration angewiesen. Dies verhindert, dass Angreifer Limits durch gefälschte IP-Header umgehen.

• Bessere Session-Sicherheit: Der Server prüft nun bei jedem API-Aufruf das Ablaufdatum der Token. Dies verhindert, dass gestohlene Token länger als vorgesehen verwendet werden können.

• Aktualisierte Abhängigkeiten: Fehlerbehebungen für OpenSSL und tower-http reduzieren das Risiko von Denial-of-Service-Angriffen.

So führen Sie ein Upgrade durch, ohne Daten zu verlieren:

  1. Sichern Sie Ihre Datenbank ordnungsgemäß. Kopieren Sie nicht einfach nur die Dateien. Verwenden Sie den SQLite-Backup-Befehl innerhalb des Containers, um Datenkorruption zu vermeiden. Führen Sie aus: docker exec vaultwarden sqlite3 /data/db.sqlite3 '.backup /data/db_backup.sqlite3'

  2. Überprüfen Sie das Backup. Führen Sie eine Integritätsprüfung der neuen Datei durch. Wenn nicht „ok“ angezeigt wird, fahren Sie nicht fort.

  3. Nutzen Sie die atomare Upgrade-Methode. Stoppen Sie Ihren Container nicht zuerst. Dies verursacht Ausfallzeiten. Ziehen Sie stattdessen das neue Image, während das alte noch läuft, und erstellen Sie den Dienst anschließend neu. Führen Sie aus: docker compose pull vaultwarden docker compose up -d vaultwarden

  4. Legen Sie Ihren IP-Header fest. Um sicherzustellen, dass das Rate Limiting funktioniert, teilen Sie Vaultwarden mit, welchen Header Ihr Proxy verwendet. Fügen Sie dies zu Ihren Umgebungsvariablen hinzu: IP_HEADER=X-Forwarded-For

Härtung Ihres Setups:

• Verwenden Sie keinen Klartext-ADMIN_TOKEN mehr. Nutzen Sie stattdessen einen Argon2-Hash. • Beschränken Sie den Pfad /admin über Ihren Reverse Proxy auf Ihr lokales Netzwerk. • Setzen Sie SIGNUPS_ALLOWED auf false, wenn Sie der einzige Nutzer sind.

Ein Upgrade dauert fünf Minuten. Eine ordnungsgemäße Vorbereitung dauert zehn. Überspringen Sie niemals das Backup.

Quelle: https://dev.to/ericwoooo_kr/vaultwarden-1360-what-changed-what-to-patch-and-how-to-upgrade-without-losing-your-vault-3gd2