Lỗ hổng nguy hiểm này nằm trong WU-FTP, phần mềm FTP Server của các máy chủ Linux phổ biến, đã mở ra các khả năng cho hacker tấn công. Tình hình càng nghiêm trọng hơn khi Red Hat vô ý đưa ra thông báo về lỗi quá sớm, đẩy các hãng cung cấp Linux khác vào thế khó khăn.

Điểm yếu bảo mật này ảnh hưởng tới tất cả các phiên bản của WU-FTP dành cho những máy chủ chạy các FTP (giao thức truyền dữ liệu) do Đại học Washington (Mỹ) phát triển. Nó cho phép các tin tặc tiếp cận tất cả những file trên máy chủ, nếu họ có thể truy cập vào dịch vụ FTP. Vì hầu hết các máy chủ chạy FTP cho phép truy cập không cần tên và mật khẩu nên lượng máy chịu ảnh hưởng của lỗi này là rất lớn.

Core ST, nhóm phát hiện ra điểm yếu này, đã thông báo cho các công ty phần mềm Linux và nhóm quản lý WU-FTP từ giữa tháng 11. Tuy nhiên, hôm thứ ba vừa qua, trong khi các hãng kinh doanh Linux (SuSE, Caldera International, Turbolinux, Connectiva, Conbalt Networks, MandrakeSoft và Wire) đang phối hợp nghiên cứu để đồng loạt phát hành bản sửa lỗi vào ngày 3/12, thì Red Hat vô tình thông báo vấn đề bảo mật này cho khách hàng của họ. Thông thường thì việc công bố bản sửa lỗi ngay sau khi phát hiện là rất tốt, nhưng hành động của Red Hat đã làm thay đổi kế hoạch chung của các hãng trên.

“Các công ty Linux đã phải chạy đua để phát hành bản sửa lỗi. Việc làm của Red Hat khiến các đối tác rất khó xử với khách hàng của họ”, ông Vincent, Giám đốc bảo mật của hãng sản xuất Linux MandrakeSoft (Pháp), phát biểu.

Về phần mình, ông Mark Cox, Giám đốc kỹ thuật của Red Hat, đã phải xin lỗi các công ty trên: “Chúng tôi vô tình gửi bản sửa lỗi ngay trong ngày phát hiện. Đây là sai sót nghiêm trọng. Hiện các chuyên gia của Red Hat đã thêm các tính năng bảo vệ mới vào hệ thống để tránh những sai sót tương tự trong tương lai. Chúng tôi xin khẳng định điều này sẽ không lặp lại”.