Não, isso não afeta o ZSH.
Você ainda DEVE atualizar o bash, já que a maioria dos scripts do sistema são escritos para o bash e vulneráveis ao bug do shellshock.
Para testar seu ZSH faça isso:
env x='() { :;}; echo vulnerable' zsh -c 'echo hello'
O que exatamente esse código faz?
-
env x='() { :;}; echo vulnerable'
cria uma variável de ambiente com bug conhecido usando o comando no final da variável -
zsh -c 'echo hello'
lança o shell ZSH com um simples olá (e avaliando todas as variáveis de env, incluindo x )
Se você vir a saída:
vulnerable
hello
Então o seu ZSH é vulnerável. O meu (5.0.2) não é:
$ env x='() { :;}; echo vulnerable' zsh -c 'echo hello'
hello