Software-update - Vaultwarden 1.35.6

In dit artikel:

Vaultwarden (voorheen bitwarden_rs), de populaire, in Rust geschreven en opensource serverimplementatie van Bitwarden die vaak door zelf-hosters wordt gebruikt, heeft recent versie 1.35.5 uitgebracht gevolgd door een hotfix 1.35.6. De update adresseert meerdere beveiligingsproblemen en een functionele fout met twee-factor- of hersteltokens en bevat diverse verbeteringen voor organisatiebeheer, SSO en compatibiliteit.

Belangrijkste punten
- Kritieke beveiligingsfixes: de release verhelpt meerdere kwetsbaarheden waarvoor GHSA-advisories zijn aangemaakt (onder andere GHSA-937x-3j8m-7w7p, GHSA-569v-845w-g82p en GHSA-6j4w-g4jh-xjfx). De projectbeheerders raden gebruikers sterk aan zo snel mogelijk te updaten; details zijn voorlopig privé in afwachting van CVE-toewijzing.
- Hotfix 1.35.6: repareert dat Two Factor Remember Tokens en Recovery Tokens eerder helemaal niet werden geaccepteerd.
- Functionele en operationele wijzigingen: onder meer worden policies alleen op bevestigde leden toegepast, is er een feature-flag voor account-switching in Safari, verbeterde SSO-caching, extra mobiele feature-flags, CORS-ondersteuning voor een nieuw desktop-origin en allerlei bugfixes (API-key login, e-mail header base64, 2FA-weergave, logs/uitloggedrag, Windows-builds, enz.).
- Admins die eigen templates gebruiken: let op dat admin-templates veranderd zijn en aangepast moeten worden bij overrides.
- Andere technische verbeteringen: rotatie van refresh-tokens bij security-stamp reset, wijziging van SQLite-backups naar VACUUM INTO, betere shutdown-afhandeling (SIGTERM/SIGQUIT) en CI/security-updates.

Context: Vaultwarden richt zich op zelf-hosters die de officiële Bitwarden-clients willen blijven gebruiken maar een lichtere of goedkoper te beheren serveroplossing prefereren, vaak met features die bij Bitwarden betaalopties vereisen. Aanbeveling: voer een back-up uit en update snel naar de nieuwste versie.