Vaultwarden 1.36.0: Guia de Atualização
Fazer o self-hosting significa que você é sua própria equipe de segurança.
Na nuvem, uma empresa corrige vulnerabilidades antes que você as perceba. Com o Vaultwarden, você assume o risco. Se você pular as atualizações, estará exposto a vulnerabilidades conhecidas.
O Vaultwarden 1.36.0 corrige duas áreas críticas: • Autenticação do painel de administração. • Manipulação de tokens de sessão.
O painel de administração é um alvo comum. Muitos usuários o executam em um subdomínio público. Se você não bloquear o caminho /admin no nível do seu proxy, estará em risco.
Principais Melhorias na 1.36.0:
• Limitação de taxa (rate limiting) no lado do servidor: O aplicativo agora gerencia a limitação de taxa internamente. Ele não depende mais apenas da sua configuração do Nginx ou Caddy. Isso evita que invasores contornem os limites usando cabeçalhos de IP falsos.
• Melhor segurança de sessão: O servidor agora verifica a expiração do token em cada chamada de API. Isso evita que tokens roubados funcionem por mais tempo do que deveriam.
• Dependências atualizadas: Correções para OpenSSL e tower-http reduzem o risco de ataques de negação de serviço (DoS).
Como Atualizar Sem Perder Dados:
Faça o backup do seu banco de dados corretamente. Não apenas copie os arquivos. Use o comando de backup do SQLite dentro do container para evitar corrupção. Execute: docker exec vaultwarden sqlite3 /data/db.sqlite3 '.backup /data/db_backup.sqlite3'
Verifique o backup. Execute uma verificação de integridade no novo arquivo. Se não aparecer "ok", não prossiga.
Use o método de atualização atômica. Não pare o seu container primeiro. Isso causa tempo de inatividade (downtime). Em vez disso, baixe a nova imagem enquanto a antiga está rodando e, em seguida, recrie o serviço. Execute: docker compose pull vaultwarden docker compose up -d vaultwarden
Configure o seu cabeçalho de IP. Para garantir que a limitação de taxa funcione, informe ao Vaultwarden qual cabeçalho o seu proxy utiliza. Adicione isto ao seu ambiente: IP_HEADER=X-Forwarded-For
Reforçando a segurança da sua configuração (Hardening):
• Pare de usar o ADMIN_TOKEN em texto puro. Use um hash argon2 em vez disso. • Restrinja o caminho /admin à sua rede local por meio do seu proxy reverso. • Defina SIGNUPS_ALLOWED como false se você for o único usuário.
Uma atualização leva cinco minutos. Uma preparação adequada leva dez. Não pule o backup.
