Veramente la vulnerabilità colpiva anche i client (e in modi abbastanza spaventosi, tipo "se mi passi vicino col wifi acceso divento root del tuo pc":
https://en.wikipedia.org/wiki/Shellshoc ... CP_servers ).
Per fortuna Debian e derivate (inclusa Ubuntu) non usano bash come "avatar" di sh, ma ash, che non ha mai avuto quella vulnerabilità, quindi tutti i programmi che si appoggiano su sh senza fare un minimo di validazione dell'input (come dhcp-client) non hanno ereditato il problema; il che significa che è molto probabile che per gli utenti Ubuntu non ci sia mai stato un vero pericolo (ma ci siamo andati vicino).
Restano comunque un numero imprecisato di programmi che fanno questo invocando esplicitamente bash (spero non ci siano, ma non ci giurerei, sopratutto i programmi proprietari), quindi l'aggiornamento è molto, molto importante (come al solito).
Chi non ha motivi per evitarlo (ad esempio la necessità non sforare i limiti mensili di traffico) farebbe bene ad abilitare l'applicazione silenziosa degli aggiornamenti di sicurezza, la parte principale del bug è stata risolta in circa 24 ore, se non sbaglio (poi hanno scoperto che ce n'era un'altra, meno sfruttabile, e l'aggiornamento è arrivato in un paio di giorni).
ps: da quel che ho capito i Mac hanno avuto il problema in modo serio (tipo che il giochino del server dhcp malvagio via wifi funzionava sul serio) e l'aggiornamento ci ha messo pure più tempo. Invece altre distro (che usano bash come rimpiazzo di sh) hanno avuto il problema in modo più o meno altrettanto grave, ma aggiornamenti molto tempestivi.