Hi!
Кто ж в старое устройство умудрился bash залить - флешки то дорогие были.
Мне кажется, что паника на счёт embedded действительно раздута зря — там редко bash и они обычно не торчат публичными сервисами в интернет. Проблема, скорее, в непредсказуемом количестве софта, который устанавливает переменные окружения на основе внешних данных и делает popen() — начиная от интернет-серверов (tcp/80 на текущий момент не просканил только ленивый; а также привет qmail), заканчивая sip-проксями (https://github.com/zaf/sipshock) и пресловутым dhclient-script. И в шутках про то, что, залив shellshock-код вместо имени на банковскую карточку, можно попробовать завалить процессинг где-то на другом конце планеты, таки может оказаться доля правды. -- ryzh-ripe