Podatność może zostać wykorzystana przez cyberprzestępców na różne sposoby, m.in. do przejęcia kontroli na komputerem, w celu wykradania z niego informacji wrażliwych w postaci np. haseł, numerów kart kredytowych, itd. Przedmiotowa podatność może również zostać wykorzystana do instalowania w pamięci oprogramowania złośliwego, służącego do przeprowadzania ataków DDoS lub APT.

Wykryta podatność dotyczy systemów operacyjnych: Linux, Unix, a także OS X (zaprojektowanego na bazie systemu Unix). Należy jednak zaznaczyć, iż powyższe oprogramowanie wykorzystywane jest w stacjach roboczych, serwerach ale także w sieciowych urządzeniach aktywnych.

Występowanie podatności można zbadać za pomocą poniższego polecenia:

env x='() { :;}; echo vulnerable’ bash -c „echo this is a test”

W przypadku systemu podatnego na atak Shellshock, wynikiem powyższego polecenia będzie:

vulnerable
this is a test

Poniżej zostały umieszczone odnośniki do witryn, które zawierają informacje na temat poprawek bezpieczeństwa do poszczególnych systemów:

• Debian – https://www.debian.org/security/2014/dsa-3032
• Ubuntu – http://www.ubuntu.com/usn/usn-2362-1/
• Red Hat – https://access.redhat.com/articles/1200223
• CentOS – http://centosnow.blogspot.com/2014/09/critical-bash-updates-for-centos-5.html
• Novell/SUSE –  http://support.novell.com/security/cve/CVE-2014-6271.html

Systemy Ubuntu/Debian – można zaktualizować powłokę Bash używając polecenia apt-get:

sudo apt-get update && sudo apt-get install –only-upgrade bash

Systemy CentOS/Red Hat / Fedora – można zaktualizować powłokę Bash używając polecenia yum:

sudo yum update bash

Więcej informacji na temat przedmiotowej podatności można znaleźć pod adresem:http://www.fsf.org/news/free-software-foundation-statement-on-the-gnu-bash-shellshock-vulnerability

Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL zaleca natychmiastowe podjęcie działań mające na celu weryfikację wykorzystywanych systemów teleinformatycznych pod kątem obecności przedmiotowej podatności oraz zastosowanie poprawek bezpieczeństwa. W przypadku gdy na użytkowany system nie została upubliczniona poprawka bezpieczeństwa, należy rozważyć możliwość przejścia na alternatywną dystrybucję systemu operacyjnego, który jest odporny na podatność ShellShock. W przypadku wykrycia przełamania zabezpieczeń w systemach teleinformatycznych wykorzystywanych w przez administrację rządową w związku z przedmiotową podatnością, należy niezwłocznie poinformować o tym fakcie Zespół CERT.GOV.PL