Un ingénieur français, Stéphane Chazelas, a découvert une vulnérabilité dans bash, l'interpréteur de commandes Unix du projet GNU (Bourne-Again Shell). Baptisée Shellshock, cette faille a été publiée sous l'identification CVE-2014-6271. Elle est liée à la façon dont les variables d'environnement sont traitées et jugée comparable voire plus grave que Heartbleed qui avait affecté la bibliothèque de chiffrement Open Source OpenSSL au printemps dernier. Elle peut être exploitée à distance dans de nombreux cas et affecter potentiellement de nombreuses applications web, serveurs, PC ou Mac. Une mise à jour de bash est proposée aux administrateurs.

Cette faille existerait en fait depuis plus d'une vingtaine d'années, remontant à la version 1.13 de bash. Sur le blog du fournisseur Akamai, Andy Ellis, CSO du fournisseur Akamai, explique que les applications web tels que les scripts CGI sont vulnérables de plusieurs façons, notamment par l'appel d'autres applications à travers un shell ou l'évaluation de portions de code à travers le shell.  Pour s'en prémunir, outre la mise à jour de bash, on peut aussi remplacer l'interpréteur par un autre shell, limiter l'accès aux services vulnérables ou, encore, filtrer les données reçues, explique Akamai qui a créé une règle pour filtrer les risques d'exploitation de la faille.