Shellshock je skupni naziv za niz Linux sigurnosnih problema u bash shell-u. Bash je zadani terminal u mnogim distribucijama Linuxa, što je značilo da su učinci bugova bili posebno rašireni.
Napomena: Ranjivost nije utjecala na Windows sustave jer Windows ne koristi Bash ljusku.
U rujnu 2014., Stéphane Chazelas, sigurnosni istraživač, otkrio je prvi problem u Bashu i privatno ga prijavio osobi koja održava Bash. Radio je s programerom odgovornim za održavanje Basha i razvijena je zakrpa koja je riješila problem. Nakon što je zakrpa objavljena i dostupna za preuzimanje, priroda bug-a objavljena je javnosti krajem rujna.
U roku od nekoliko sati od objave buga, iskorištavan je u divljini iu roku od jednog dana već su postojali botnetovi temeljeni na eksploataciji koja se koristila za izvođenje DDOS napada i ranjivosti skenira. Iako je zakrpa već bila dostupna, ljudi je nisu mogli implementirati dovoljno brzo da izbjegnu navalu iskorištavanja.
Tijekom sljedećih nekoliko dana identificirano je još pet povezanih ranjivosti. Ponovno su zakrpe brzo razvijene i puštene, ali unatoč aktivnoj eksploataciji, ažuriranja još uvijek nisu nužno primjenjivati odmah ili čak odmah dostupni u svim slučajevima, što dovodi do više kompromitacije strojevi.
Ranjivosti su proizašle iz raznih vektora, uključujući neispravno rukovanje pozivima sustava web poslužitelja temeljenih na CGI-ju. OpenSSH poslužitelj dopuštao je podizanje privilegija s ograničene ljuske na neograničenu ljusku. Zlonamjerni DHCP poslužitelji uspjeli su izvršiti kod na ranjivim DHCP klijentima. Prilikom obrade poruka, Qmail je dopustio iskorištavanje. IBM HMC ograničena ljuska mogla bi se iskoristiti za pristup punoj bash ljusci.
Zbog raširenosti buga, kao i ozbiljnosti ranjivosti i navale eksploatacije, Shellshock se često uspoređuje sa "Heartbleedom". Heartbleed je bila ranjivost u OpenSSL-u koja je propuštala sadržaj memorije bez ikakve korisničke interakcije.