Bash security vulnerbility

Even if SSH is enabled and exposed to the internet, an attacker must authenticate before they can get access to the shell, and be able to exploit shell shock. The bigger risk is web services that may use bash cgi scripts, and specifically, may use environment variables to directly store user submitted data. In these cases, shell shock may allow an unprivileged user to do something on a web server's shell with some privilege. 

@Gaston, I suspect someone accidentally published the article that Bruce linked before it was ready, and that's why it's not available now. It will be re-posted once all the necessary details have been gathered.

Bruce's summary of the to-be-posted article covers the most important bits for UTM. Effectively, UTM does not appear to be vulnerable to attack from shell shock, and an update will be released later to update bash. We'll post more details publicly, later today, so keep an eye on Sophos Blog | Security made simple and Naked Security | Computer Security · News · Opinion · Advice · Research for more. Info will be posted to both, so stay tuned.

My only concern with this was the webserver security within UTM since it is using what appears to be apache.  I know its acting as a reverse proxy and I don't have anything using CGI exposed to the public but I just wondered for others.

My only concern with this was the webserver security within UTM since it is using what appears to be apache.  I know its acting as a reverse proxy and I don't have anything using CGI exposed to the public but I just wondered for others.