Shellshock är ett samlingsnamn för en serie Linux-säkerhetsproblem i bash-skalet. Bash är standardterminalen i många Linux-distributioner vilket innebar att effekterna av buggarna var särskilt utbredda.
Obs: Sårbarheten påverkade inte Windows-system eftersom Windows inte använder Bash-skalet.
I september 2014 upptäckte Stéphane Chazelas, en säkerhetsforskare, det första problemet i Bash och rapporterade det privat till personen som underhåller Bash. Han arbetade med utvecklaren som ansvarade för att underhålla Bash och en patch utvecklades som löste problemet. När patchen släpptes och var tillgänglig för nedladdning släpptes felets natur till allmänheten i slutet av september.
Inom några timmar efter tillkännagivandet av buggen utnyttjades den i naturen och inom en dag det fanns redan botnät baserade på utnyttjandet som användes för att utföra DDOS-attacker och sårbarhet skannar. Även om en patch redan var tillgänglig, kunde folk inte distribuera den snabbt nog för att undvika ruset av exploatering.
Under de närmaste dagarna identifierades ytterligare fem relaterade sårbarheter. Återigen utvecklades och släpptes patchar snabbt men trots aktivt utnyttjande var uppdateringarna fortfarande inte det nödvändigtvis tillämpas omedelbart eller till och med tillgänglig omedelbart i alla fall, vilket leder till mer äventyras maskiner.
Sårbarheterna kom från en mängd olika vektorer, inklusive CGI-baserade webbserversystemanrop som hanterades felaktigt. OpenSSH-servern tillät en privilegiehöjning från ett begränsat skal till ett obegränsat skal. Skadliga DHCP-servrar kunde exekvera kod på sårbara DHCP-klienter. Vid bearbetning av meddelanden tillät Qmail utnyttjande. Det begränsade IBM HMC-skalet kunde utnyttjas för att få tillgång till ett fullständigt bash-skal.
På grund av den utbredda karaktären av buggen såväl som svårighetsgraden av sårbarheterna och rushen av exploatering, jämförs Shellshock ofta med "Heartbleed". Heartbleed var en sårbarhet i OpenSSL som läckte innehållet i minnet utan någon användarinteraktion.