Shellshock (softwarebug)

Shellshock ook bekend als Bashdoor of CVE-2014-6271^[1], is een familie van softwarebugs in de Unix Bash shell. De bug was bekendgemaakt op 24 september 2014. Gezien de omvang wordt een vergelijking gemaakt met de bug Heartbleed.^[1][2]

Het logo van Shellshock, vergelijkbaar met het Heartbleed-logo

Achtergrond

De kwetsbaarheid van Shellshock is dat, in getroffen versies van Bash, code kan worden geïnjecteerd. Dit gebeurt door de "function export"-functie, die scripts in een actieve instantie van Bash kan delen met ondergeschikte instanties. Deze functie wordt uitgevoerd door het coderen van de scripts binnen een tabel die gedeeld wordt tussen de verschillende instanties, oftewel de omgevingsvariabelenlijst.