Vaultwarden 1.36.0: Upgradehandleiding

Zelf hosten betekent dat je je eigen beveiligingsteam bent.

In de cloud lost een bedrijf kwetsbaarheden op voordat je ze opmerkt. Bij Vaultwarden draag je zelf het risico. Als je updates overslaat, loop je het risico op bekende kwetsbaarheden.

Vaultwarden 1.36.0 lost twee kritieke gebieden op: • Authenticatie van het beheerderspaneel. • Afhandeling van sessietokens.

Het beheerderspaneel is een veelvoorkomend doelwit. Veel gebruikers draaien dit op een publiek subdomein. Als je het /admin-pad niet blokkeert op proxy-niveau, loop je risico.

Belangrijkste verbeteringen in 1.36.0:

• Rate limiting aan de serverzijde: De app regelt rate limiting nu intern. Het is niet langer uitsluitend afhankelijk van je Nginx- of Caddy-configuratie. Dit voorkomt dat aanvallers limieten omzeilen met valse IP-headers.

• Betere sessiebeveiliging: De server controleert nu bij elke API-aanroep of een token is verlopen. Dit voorkomt dat gestolen tokens langer werken dan de bedoeling is.

• Bijgewerkte dependencies: Oplossingen voor OpenSSL en tower-http verminderen het risico op denial-of-service-aanvallen.

Hoe je kunt upgraden zonder gegevens te verliezen:

  1. Maak een goede back-up van je database. Kopieer niet zomaar de bestanden. Gebruik het SQLite-back-upcommando in de container om corruptie te voorkomen. Voer uit: docker exec vaultwarden sqlite3 /data/db.sqlite3 '.backup /data/db_backup.sqlite3'

  2. Controleer de back-up. Voer een integriteitscontrole uit op het nieuwe bestand. Als er niet "ok" staat, ga dan niet verder.

  3. Gebruik de atomaire upgrade-methode. Stop niet eerst je container. Dit veroorzaakt downtime. Haal in plaats daarvan de nieuwe image op terwijl de oude nog draait, en maak de service daarna opnieuw aan. Voer uit: docker compose pull vaultwarden docker compose up -d vaultwarden

  4. Stel je IP-header in. Om ervoor te zorgen dat rate limiting werkt, moet je Vaultwarden laten weten welke header je proxy gebruikt. Voeg dit toe aan je omgeving: IP_HEADER=X-Forwarded-For

Je setup beveiligen:

• Stop met het gebruik van een plaintext ADMIN_TOKEN. Gebruik in plaats daarvan een argon2-hash. • Beperk het /admin-pad tot je lokale netwerk via je reverse proxy. • Stel SIGNUPS_ALLOWED in op false als jij de enige gebruiker bent.

Een upgrade duurt vijf minuten. Een goede voorbereiding duurt tien minuten. Sla de back-up niet over.

Bron: https://dev.to/ericwoooo_kr/vaultwarden-1360-what-changed-what-to-patch-and-how-to-upgrade-without-losing-your-vault-3gd2