Shellshock هو اسم جماعي لسلسلة من مشكلات أمان Linux في bash shell. Bash هي المحطة الافتراضية في العديد من توزيعات Linux مما يعني أن تأثيرات الأخطاء كانت منتشرة بشكل خاص.
ملاحظة: لم تؤثر الثغرة الأمنية على أنظمة Windows لأن Windows لا يستخدم Bash shell.
في سبتمبر 2014 ، اكتشف ستيفان شازيلاس ، الباحث الأمني ، العدد الأول في باش وأبلغه بشكل خاص إلى الشخص المسؤول عن إدارة باش. عمل مع المطور المسؤول عن صيانة Bash وتم تطوير تصحيح لحل المشكلة. بمجرد إصدار التصحيح وإتاحته للتنزيل ، تم طرح طبيعة الخطأ للجمهور قرب نهاية سبتمبر.
في غضون ساعات من الإعلان عن الحشرة ، تم استغلالها في البرية وخلال يوم واحد كانت هناك بالفعل شبكات روبوت تستند إلى الاستغلال الذي يتم استخدامه لتنفيذ هجمات DDOS ونقاط الضعف بالاشعة. على الرغم من أن التصحيح كان متاحًا بالفعل ، إلا أن الأشخاص لم يكونوا قادرين على نشره بالسرعة الكافية لتجنب اندفاع الاستغلال.
خلال الأيام القليلة التالية ، تم تحديد خمس نقاط ضعف أخرى ذات صلة. مرة أخرى تم تطوير التصحيحات وإصدارها بسرعة ولكن على الرغم من الاستغلال النشط ، لم تكن التحديثات لا تزال كذلك يتم تطبيقها بالضرورة على الفور أو حتى متاحًا على الفور في جميع الحالات ، مما يؤدي إلى مزيد من الاختراق الآلات.
جاءت نقاط الضعف من مجموعة متنوعة من النواقل ، بما في ذلك مكالمات نظام خادم الويب المستندة إلى CGI التي يتم التعامل معها بشكل غير صحيح. سمح خادم OpenSSH برفع الامتياز من صدفة مقيدة إلى صدفة غير مقيدة. كانت خوادم DHCP الضارة قادرة على تنفيذ التعليمات البرمجية على عملاء DHCP المعرضين للخطر. عند معالجة الرسائل ، سمح Qmail بالاستغلال. يمكن استغلال قشرة IBM HMC المقيدة للوصول إلى قشرة bash كاملة.
نظرًا لطبيعة الخطأ المنتشرة بالإضافة إلى شدة نقاط الضعف واندفاع الاستغلال ، غالبًا ما تتم مقارنة Shellshock بـ "Heartbleed". كانت Heartbleed عبارة عن ثغرة أمنية في OpenSSL أدت إلى تسريب محتويات الذاكرة دون أي تدخل من المستخدم.