Shellshock je souhrnný název pro řadu bezpečnostních problémů Linuxu v bash shellu. Bash je výchozí terminál v mnoha distribucích Linuxu, což znamenalo, že účinky chyb byly obzvláště rozšířené.
Poznámka: Tato chyba zabezpečení neovlivnila systémy Windows, protože Windows nepoužívá prostředí Bash.
V září 2014 Stéphane Chazelas, bezpečnostní výzkumník, objevil první problém v Bash a soukromě to nahlásil osobě, která Bash udržuje. Spolupracoval s vývojářem odpovědným za údržbu Bash a byla vyvinuta oprava, která problém vyřešila. Jakmile byl patch vydán a byl k dispozici ke stažení, byla povaha chyby zveřejněna koncem září.
Během několika hodin od oznámení chyby byla tato chyba využívána ve volné přírodě a během jednoho dne již existovaly botnety založené na exploitu používaném k provádění útoků DDOS a zranitelnosti skenuje. Přestože oprava již byla k dispozici, lidé ji nebyli schopni nasadit dostatečně rychle, aby se vyhnuli spěchu zneužívání.
Během několika příštích dnů bylo identifikováno dalších pět souvisejících zranitelností. Opět byly záplaty rychle vyvíjeny a vydávány, ale navzdory aktivnímu využívání aktualizace stále nebyly nutně okamžitě použito nebo dokonce okamžitě dostupné ve všech případech, což vede k většímu ohrožení stroje.
Zranitelnosti pocházely z různých vektorů, včetně systémových volání webových serverů založených na CGI, která byla nesprávně zpracována. OpenSSH server povolil zvýšení oprávnění z omezeného shellu na neomezený shell. Škodlivé servery DHCP dokázaly spustit kód na zranitelných klientech DHCP. Při zpracování zpráv umožňoval Qmail zneužívání. Omezený shell IBM HMC lze zneužít k získání přístupu k úplnému bash shellu.
Kvůli rozšířené povaze chyby a také závažnosti zranitelností a spěchu zneužívání je Shellshock často přirovnáván k „Heartbleed“. Heartbleed byla zranitelnost v OpenSSL, která unikla obsahu paměti bez jakékoli interakce uživatele.