Vaultwarden 1.36.0: Guia de Atualização

Fazer o self-hosting significa que você é sua própria equipe de segurança.

Na nuvem, uma empresa corrige vulnerabilidades antes que você as perceba. Com o Vaultwarden, você assume o risco. Se você pular as atualizações, estará exposto a vulnerabilidades conhecidas.

O Vaultwarden 1.36.0 corrige duas áreas críticas: • Autenticação do painel de administração. • Manipulação de tokens de sessão.

O painel de administração é um alvo comum. Muitos usuários o executam em um subdomínio público. Se você não bloquear o caminho /admin no nível do seu proxy, estará em risco.

Principais Melhorias na 1.36.0:

• Limitação de taxa (rate limiting) no lado do servidor: O aplicativo agora gerencia a limitação de taxa internamente. Ele não depende mais apenas da sua configuração do Nginx ou Caddy. Isso evita que invasores contornem os limites usando cabeçalhos de IP falsos.

• Melhor segurança de sessão: O servidor agora verifica a expiração do token em cada chamada de API. Isso evita que tokens roubados funcionem por mais tempo do que deveriam.

• Dependências atualizadas: Correções para OpenSSL e tower-http reduzem o risco de ataques de negação de serviço (DoS).

Como Atualizar Sem Perder Dados:

  1. Faça o backup do seu banco de dados corretamente. Não apenas copie os arquivos. Use o comando de backup do SQLite dentro do container para evitar corrupção. Execute: docker exec vaultwarden sqlite3 /data/db.sqlite3 '.backup /data/db_backup.sqlite3'

  2. Verifique o backup. Execute uma verificação de integridade no novo arquivo. Se não aparecer "ok", não prossiga.

  3. Use o método de atualização atômica. Não pare o seu container primeiro. Isso causa tempo de inatividade (downtime). Em vez disso, baixe a nova imagem enquanto a antiga está rodando e, em seguida, recrie o serviço. Execute: docker compose pull vaultwarden docker compose up -d vaultwarden

  4. Configure o seu cabeçalho de IP. Para garantir que a limitação de taxa funcione, informe ao Vaultwarden qual cabeçalho o seu proxy utiliza. Adicione isto ao seu ambiente: IP_HEADER=X-Forwarded-For

Reforçando a segurança da sua configuração (Hardening):

• Pare de usar o ADMIN_TOKEN em texto puro. Use um hash argon2 em vez disso. • Restrinja o caminho /admin à sua rede local por meio do seu proxy reverso. • Defina SIGNUPS_ALLOWED como false se você for o único usuário.

Uma atualização leva cinco minutos. Uma preparação adequada leva dez. Não pule o backup.

Fonte: https://dev.to/ericwoooo_kr/vaultwarden-1360-what-changed-what-to-patch-and-how-to-upgrade-without-losing-your-vault-3gd2