Uwaga na Ubuntu 19.10: system przez głupi błąd udostępnia w sieci wrażliwe dane

Maciej Olanicki, 05.11.2019 r.

W połowie października Canonical zaprezentował najnowszą wersję jednej z najpopularniejszych linuksowych dystrybucji – Ubuntu 19.10. Za sprawą takich nowości, jak opcjonalne wykorzystanie ZFS, GNOME 3.34 czy liczne udogodnienia dla deweloperów system został przyjęty ciepło, ale tej beczce znalazła się właśnie łyżka dziegciu.

Nie będzie przesady w twierdzeniu, że Ubuntu 19.10 w wyniku łatwego do uniknięcia błędu poważnie naraża na szwank prywatność swoich użytkowników. Wśród zmian w tej wersji systemu znalazła się nowa funkcja udostępniania mediów, która stanowi tak naprawdę interfejs graficzny na serwer mediów rygel. Problem w tym, że domyślnie miał on być wyłączony, a w wyniku pomyłki uruchamia się za sprawą systemd wraz ze startem systemu.

Skutki takiego stanu rzeczy mogą być groźne i skutkować udostępnieniem wrażliwych prywatnych danych. Uruchamiający się wraz z Ubuntu rygel działa w tle, lwia część użytkowników nie zdaje sobie więc sprawy, że taka funkcja w ogóle jest w systemie dostępna i aktywna. W rezultacie rygel całkowicie bez ich zgody udostępnia w lokalnej sieci zawartość folderów ~/Zdjęcia, ~/Muzyka i ~/Wideo.

Nietrudno sobie wyobrazić, że w folderach tych mogą znajdować się pliki prywatne, które nigdy nie miały trafić do lokalnej sieci. Nie brakuje zgłoszeń sytuacji, w których o błędzie użytkowników nowego Ubuntu informowali koledzy z pracy, którzy zauważyli, że w firmowej sieci pojawiły się nowe lokalizacje z plikami, które nie wyglądały na służbowe. Warto wspomnieć, że problem dotyczy wyłącznie sesji z GNOME Shell.

Na szczęście Canonical częściowo zaradził temu problemowi: nie napotkają go użytkownicy, którzy dokonali świeżej instalacji Ubuntu 19.10 lub aktualizacji z wersji 19.04 od poniedziałku, gdyż podmieniony został pakiet w repozytoriach i obrazach. Tym, którzy z nowego Ubuntu 19.10 korzystają dłużej na razie wciąż nie zaoferowano aktualizacji. Dla nich najlepszym rozwiązaniem będzie tymczasowa deinstalacja serwera poleceniem sudo apt remove rygel.

Zobacz też: Ubuntu 19.10 dostępne z nowym motywem graficznym i obsługą systemu plików ZFS