Shellshock ir kopīgs nosaukums vairākām Linux drošības problēmām bash čaulā. Bash ir noklusējuma terminālis daudzos Linux izplatījumos, kas nozīmēja, ka kļūdu sekas bija īpaši plaši izplatītas.
Piezīme. Ievainojamība neietekmēja Windows sistēmas, jo Windows neizmanto Bash apvalku.
2014. gada septembrī Stéphane Chazelas, drošības pētnieks, atklāja pirmo Bašas problēmu un privāti ziņoja par to personai, kas uztur Bašu. Viņš strādāja ar izstrādātāju, kas atbildīgs par Bash uzturēšanu, un tika izstrādāts ielāps, kas atrisināja problēmu. Kad ielāps tika izlaists un pieejams lejupielādei, kļūdas būtība tika atklāta septembra beigās.
Dažu stundu laikā pēc paziņojuma par kļūdu tā tika izmantota savvaļā un vienas dienas laikā jau bija robottīkli, kuru pamatā ir izmantošana, kas tika izmantota, lai veiktu DDOS uzbrukumus un ievainojamību skenē. Lai gan ielāps jau bija pieejams, cilvēki nevarēja to izvietot pietiekami ātri, lai izvairītos no ekspluatācijas steigas.
Dažu nākamo dienu laikā tika konstatētas vēl piecas saistītas ievainojamības. Atkal ielāpi tika ātri izstrādāti un izlaisti, taču, neskatoties uz aktīvo izmantošanu, atjauninājumi joprojām netika veikti visos gadījumos nekavējoties jāpiemēro vai pat ir pieejamas nekavējoties, tādējādi radot lielāku apdraudējumu mašīnas.
Ievainojamības radīja dažādi vektori, tostarp nepareizi apstrādāti uz CGI balstīti tīmekļa servera sistēmas izsaukumi. OpenSSH serveris atļāva paaugstināt privilēģijas no ierobežotas čaulas uz neierobežotu čaulu. Ļaunprātīgie DHCP serveri varēja izpildīt kodu ievainojamos DHCP klientiem. Apstrādājot ziņojumus, Qmail atļāva ekspluatāciju. IBM HMC ierobežoto čaulu var izmantot, lai piekļūtu pilnam bash apvalkam.
Kļūdas plašās izplatības, kā arī ievainojamību nopietnības un steigas izmantošanas dēļ Shellshock bieži tiek salīdzināts ar “Heartbleed”. Heartbleed bija OpenSSL ievainojamība, kas noplūda atmiņas saturā bez lietotāja iejaukšanās.