Antes da notícia, uma digressão: pessoalmente, uso o Bash desde antes de usar o Linux, e em anos recentes tenho pensado em trocá-lo por outras alternativas – e talvez a do modo interativo não vá ser a mesma dos scripts. É possível que a oportunidade tenha chegado.

Quanto ao bug do Shellshock em si, me parece que o Debian e a Red Hat (e assim também o Ubuntu e o Fedora) já decidiram desabilitar nas suas versões do Bash a exportação de funções para o ambiente na forma que permitiu a falha.

Mas, mesmo desconsiderando completamente o estado do código do Bash, a oportunidade de rever tantos detalhes sobre as shells talvez me leve a usar como shell do sistema (e para scripts) algum derivado do Ash, como já fazem o Debian, Ubuntu, vários BSDs (incluindo NetBSD e FreeBSD), Minix e até o Android. Para a shell interativa, talvez eu retorne (via um dos derivados modernos) ao ksh ou ao csh, que eu usava antes de adotar o Bash.

Agora vamos ao comunicado da FSF:

O Bash, como sabemos, é a shell do sistema operacional GNU; com a descoberta do bug Shellshock, que esteve presente em seu código por vários anos, a Free Software Foundation achou por bem emitir um comunicado a respeito.

No primeiro parágrafo, o comunicado explica que o Bash faz parte do GNU, menciona seu uso em conjunto com o kernel Linux (mencionando o nome GNU/Linux), fala sobre os efeitos do bug, que ele pode afetar também outros sistemas operacionais, e dá um link externo para mais detalhes.

No 2º, a FSF fala sobre a popularidade do Bash, e elogia sua licença que – como qualquer outra licença livre ou open source – permitiu a resposta que a fundação classifica como rápida, por meio de patches desenvolvidos pela Red Hat e compartilhados, disponíveis para quem quiser aplicá-los. A seguir o texto fala da importância da liberdade de código para a segurança, critica o software proprietário, esclarece que o software livre não pode garantir a segurança, e convida os leitores a contribuir com o projeto.

Se você tem interesse no que a FSF escreve, aqui está o comunicado completo. (via www.fsf.org - “Free Software Foundation statement on the GNU Bash "shellshock" vulnerability — Free Software Foundation — working together for free software”)

O artigo "A FSF tem algo a dizer sobre o bug "shellshock" do GNU: elogios à GPL e críticas a outras organizações" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.