LinuxなどUNIXベースのOSで広く使われているシェル(コマンド実行環境)「GNU Bash」で、2014年9月24日に見つかった非常に危険な脆弱性の通称。米国立標準技術研究所(NIST)がCVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)に基づき算出した基本評価値(脆弱性自体の危険性を表す)は、最高危険度を示す「10.0」となっている。
同脆弱性があるバージョンのBashでは、OSの環境変数に設定した文字列を関数として扱う際の処理に問題があり、「() {」から始まる文字列がセットされると、その中に含まれるコード(やコマンド)を無条件に実行してしまう。
攻撃者はこれを悪用し、内部的にBashを利用してコマンドを実行したりプログラムを呼び出したりする仕組みを備えたサービスに対して「細工した環境変数」を送り付けることにより、リモートから攻撃を実行できる。
一般に、ShellShockの影響を最も受けるのは、シェルスクリプトで書かれたCGI(Common Gateway Interface)プログラムをBashで実行するよう設定されたWebサーバーである。しかし、それ以外にも様々なサービスやアプリケーションが内部的にBashを呼び出して使っている可能性があり、潜在的な影響は計り知れない。
そうしたサービスの一例にWebベースのシステム管理ツール「Webmin」がある。ShellShock発覚後、Webminが標準で利用するTCP10000番ポートへのポートスキャンが急増したことが、JPCERTコーディネーションセンター(JPCERT/CC)によって報告された。
