Software-update - Vaultwarden 1.35.5

In dit artikel:

Vaultwarden — de in Rust gemaakte, onofficiële serverimplementatie van Bitwarden (oorspronkelijk bitwarden_rs) door Daniel García — heeft versie 1.35.5 uitgebracht. Vaultwarden levert alleen de serverkant; officiële Bitwarden-clients blijven compatibel. Veel gebruikers kiezen voor Vaultwarden omdat het lichter draait en functies biedt die bij Bitwarden achter betaalmuren zitten, zoals organisatiebeheer.

Belangrijkste punten van 1.35.5
- Veiligheidsupdates: de release dicht meerdere ernstige kwetsbaarheden (aangeduid met GHSA-advisories). Deze omvatten onder andere een probleem waardoor een onbevestigde eigenaar grote wijzigingen binnen een organisatie kon uitvoeren, een fout in groepsbinding die toegang tot andere organisaties mogelijk maakte, en het nalaten ongeldige refresh-tokens na een security-stamp-rotatie. De advisories zijn voorlopig privé in afwachting van CVE-toekenning; lokaal updaten wordt sterk aangeraden.
- Admin-templates: de beheertemplates zijn aangepast; wie eigen templates overschrijft moet deze bijwerken.
- Functie-uitbreidingen en flags: nieuwe feature-flags toegevoegd (zoals account-switching in Safari, WebAuthn-origins en mobiele import/export), plus updates aan feature-flagconfiguraties.
- Beveiligings- en loginfixes: verbeteringen aan API-key login, rotatie van refresh-tokens bij security-stamp-reset, en correcties voor e-mailheader-encoding en 2FA “remember”-duur (nu daadwerkelijk 30 dagen).
- Organisatie- en permissieverbeteringen: beleid wordt nu alleen op bevestigde leden toegepast en managers kunnen niet meer onbedoeld collecties aanmaken; diverse andere org-gerelateerde fixes.
- Overige technisch onderhoud: CORS-aanpassingen voor nieuwe desktop-origin, beter afhandelen van SIGTERM/SIGQUIT, gebruik van SQLite VACUUM INTO voor backups, builds en CI-updates, en fixes voor Windows-builds.

Kort advies: vanwege de gedichte beveiligingslekken en meerdere fixes is het aan te raden Vaultwarden 1.35.5 zo snel mogelijk te installeren.