Se você executar isto:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Não não diz "vulnerável". (Veja também link )
Não sei como funcionam as "atualizações não supervisionadas". Eu apenas tentei configurá-lo no meu servidor e estava me perguntando a mesma coisa. Então eu corri isto:
sudo unattended-upgrade
que parecia correr muito rápido para atualizar qualquer coisa. Eu corri isto:
sudo dpkg-reconfigure -plow unattended-upgrades
para definir algo. Novamente, não parece estar executando atualizações.
... e com certeza, o teste acima ainda dizia "vulnerável". Para mim, eu fiz uma atualização completa de todos os pacotes ( apt-get update && apt-get -y upgrade ) e ... não estou mais vulnerável.
Talvez isso signifique que a resposta é "não" ... o que levanta a questão: por que não?