Une vulnérabilité dont la gravité est jugée comparable voire supérieure à celle de Heartbleed (faille trouvée au printemps dans OpenSSL) a été découverte dans l'interpréteur de commandes bash. Identifiée sous le numéro CVE-2014-6271, elle a été dénommée Shellshock. Des mises à jour sont déjà disponibles.
Cette faille existerait en fait depuis plus d'une vingtaine d'années, remontant à la version 1.13 de bash. Sur le blog du fournisseur Akamai, Andy Ellis, CSO du fournisseur Akamai, explique que les applications web tels que les scripts CGI sont vulnérables de plusieurs façons, notamment par l'appel d'autres applications à travers un shell ou l'évaluation de portions de code à travers le shell. Pour s'en prémunir, outre la mise à jour de batch, on peut aussi remplacer l'interpréteur par un autre shell, limiter l'accès aux services vulnérables ou, encore, filtrer les données reçues, explique Akamai qui a créé une règle pour filtrer les risques d'exploitation de la faille.