O número da versão de um programa não é uma boa indicação dos problemas de segurança que ele possui. Quando uma falha de segurança é encontrada, é prática padrão corrigir apenas esse buraco e não atualizar o programa para uma versão posterior que pode se tornar incompatível em casos sutis.
Assim, vendo que você tem bash 4.1 não dá nenhuma informação sobre se é vulnerável a Shellshock. Use um teste como o que você já encontrou. Como x='() { :;}; echo vulnerable' bash -c 'echo hello'
não imprime vulnerable
, você não está vulnerável ao bug do Shellshock. O fato de você não ver uma mensagem de erro indica que sua cópia do bash também tem correções para corrigir bugs relacionados encontrados na sequência do Shellshock . O artigo que menciona essas mensagens de erro está desatualizado: com as últimas correções, esse comando imprime apenas hello
.