Shellshock este un nume colectiv pentru o serie de probleme de securitate Linux în shell-ul bash. Bash este terminalul implicit în multe distribuții Linux, ceea ce a însemnat că efectele erorilor au fost deosebit de răspândite.
Notă: Vulnerabilitatea nu a afectat sistemele Windows, deoarece Windows nu utilizează shell-ul Bash.
În septembrie 2014, Stéphane Chazelas, un cercetător de securitate, a descoperit prima problemă în Bash și a raportat-o în mod privat persoanei care întreține Bash. A lucrat cu dezvoltatorul responsabil cu întreținerea Bash și a fost dezvoltat un patch care a rezolvat problema. Odată ce patch-ul a fost lansat și disponibil pentru descărcare, natura erorii a fost eliberată publicului la sfârșitul lunii septembrie.
La câteva ore de la anunțarea bug-ului, acesta a fost exploatat în sălbăticie și într-o zi existau deja botnet-uri bazate pe exploit-ul folosit pentru a efectua atacuri DDOS și vulnerabilitate scanează. Chiar dacă un patch era deja disponibil, oamenii nu au putut să-l implementeze suficient de rapid pentru a evita grăbirea exploatării.
În următoarele câteva zile, au fost identificate încă cinci vulnerabilități asociate. Din nou, corecțiile au fost dezvoltate și lansate rapid, dar în ciuda exploatării active, actualizările încă nu au fost aplicat neapărat imediat sau chiar disponibil imediat în toate cazurile, ceea ce duce la mai compromis masini.
Vulnerabilitățile au provenit dintr-o varietate de vectori, inclusiv apelurile de sistem bazate pe server web CGI fiind gestionate incorect. Serverul OpenSSH a permis o creștere a privilegiilor de la un shell restricționat la un shell nerestricționat. Serverele DHCP rău intenționate au putut executa cod pe clienți DHCP vulnerabili. La procesarea mesajelor, Qmail a permis exploatarea. Shell-ul restricționat IBM HMC ar putea fi exploatat pentru a obține acces la un shell bash complet.
Datorită naturii răspândite a bug-ului, precum și a gravității vulnerabilităților și a grăbirii de exploatare, Shellshock este adesea comparat cu „Heartbleed”. Heartbleed a fost o vulnerabilitate în OpenSSL care a scurs conținutul memoriei fără nicio interacțiune a utilizatorului.