Vaultwarden 1.36.0: Guía de actualización
El autoalojamiento significa que tú eres tu propio equipo de seguridad.
En la nube, una empresa corrige las vulnerabilidades antes de que te des cuenta. Con Vaultwarden, tú asumes el riesgo. Si omites las actualizaciones, te expones a vulnerabilidades conocidas.
Vaultwarden 1.36.0 corrige dos áreas críticas: • Autenticación del panel de administración. • Gestión de tokens de sesión.
El panel de administración es un objetivo común. Muchos usuarios lo ejecutan en un subdominio público. Si no bloqueas la ruta /admin a nivel de proxy, estás en riesgo.
Mejoras clave en la 1.36.0:
• Limitación de tasa (rate limiting) en el lado del servidor: La aplicación ahora gestiona la limitación de tasa internamente. Ya no depende únicamente de tu configuración de Nginx o Caddy. Esto evita que los atacantes eludan los límites utilizando encabezados de IP falsos.
• Mejor seguridad de sesión: El servidor ahora verifica la expiración del token en cada llamada a la API. Esto evita que los tokens robados funcionen más tiempo del debido.
• Dependencias actualizadas: Las correcciones para OpenSSL y tower-http reducen el riesgo de ataques de denegación de servicio.
Cómo actualizar sin perder datos:
Realiza una copia de seguridad de tu base de datos correctamente. No te limites a copiar los archivos. Utiliza el comando de respaldo de SQLite dentro del contenedor para evitar la corrupción de datos. Ejecuta:
docker exec vaultwarden sqlite3 /data/db.sqlite3 '.backup /data/db_backup.sqlite3'Verifica la copia de seguridad. Realiza una comprobación de integridad en el nuevo archivo. Si no indica "ok", no continúes.
Utiliza el método de actualización atómica. No detengas el contenedor primero. Esto provoca tiempo de inactividad. En su lugar, descarga la nueva imagen mientras la antigua se está ejecutando y luego recrea el servicio. Ejecuta:
docker compose pull vaultwardendocker compose up -d vaultwardenConfigura tu encabezado de IP. Para asegurar que la limitación de tasa funcione, indica a Vaultwarden qué encabezado utiliza tu proxy. Añade esto a tu entorno:
IP_HEADER=X-Forwarded-For
Refuerza tu configuración:
• Deja de usar ADMIN_TOKEN en texto plano. Utiliza un hash argon2 en su lugar.
• Restringe la ruta /admin a tu red local a través de tu proxy inverso.
• Establece SIGNUPS_ALLOWED en false si eres el único usuario.
Una actualización toma cinco minutos. Una preparación adecuada toma diez. No te saltes la copia de seguridad.
