Debian применил различные патчи к bash
версии в wheezy(-security), что также предотвращает использование CVE-2014-6277 и CVE-2014-6278.
Смотрите https://github.com/hannob/bashcheck/blob/master/README.md как интерпретировать ваш результат.
Мой вывод (вероятно, обновлённый) скрипта bashcheck в Debian:
Testing /bin/bash ...
GNU bash, Version 4.2.37(1)-release (x86_64-pc-linux-gnu)
Variable function parser pre/suffixed [(), redhat], bugs not explitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)
(сокращённый) журнал изменений в выпусках безопасности deb7u3
имеет значение
bash (4.2+dfsg-0.1+deb7u3) wheezy-security; urgency=high
* Add variables-affix.patch patch.
Apply patch from Florian Weimer to add prefix and suffix for environment
variable names which contain shell functions.
* Add parser-oob.patch patch.
Fixes two out-of-bound array accesses in the bash parser.
bash (4.2+dfsg-0.1+deb7u2) wheezy-security; urgency=high
* Add CVE-2014-7169.diff diff.
CVE-2014-7169: Incomplete fix for CVE-2014-6271. (Closes: #762760, #762761)
bash (4.2+dfsg-0.1+deb7u1) wheezy-security; urgency=high
* Apply patch from Chet Ramey to fix CVE-2014-6271.
Я обнаружил, что ответственным за это является gnome-settings-daemon.
/usr/libexec/gnome-settings-daemon