<div dir="ltr">Hi Matthew,<div><br></div><div><br></div><div>Thanks very much for the clarification.</div><div><br></div><div><br></div><div><br></div><div>Regards,</div><div>-Willy</div><div><br></div><div><br></div><div class="gmail_extra">


<br><br><div class="gmail_quote">On Thu, May 29, 2014 at 2:32 PM, Matthew Grooms <span dir="ltr"><<a href="mailto:mgrooms@shrew.net" target="_blank">mgrooms@shrew.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


Hi Willy,<br>
<br>
Heartbleed affects products that link against vulnerable versions of OpenSSL libssl to provide support for SSL/TLS. The Shrewsoft VPN client only links to libcrypto which provides cryptographic functions, but not SSL/TLS functionality. IPsec doesn't leverage SSL/TLS. For more info, please see ...<br>



<br>
<a href="http://heartbleed.com/" target="_blank">http://heartbleed.com/</a><br>
<br>
Hope this helps,<br>
<br>
-Matthew<div><div><br>
<br>
On 4/12/2014 12:50 AM, Willy Yuen wrote:<br>
</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>
Hello,<br>
<br>
Recently, there is widespread media coverage on OpenSSL Heartbleed<br>
vulnerability.<br>
Bruce Schneier does an excellent job of summarizing the vulnerability<br>
and its significance here:<br>
<br>
<br>
<a href="https://www.schneier.com/blog/archives/2014/04/heartbleed.html" target="_blank">https://www.schneier.com/blog/<u></u>archives/2014/04/heartbleed.<u></u>html</a><br>
<br>
<br>
<br>
¬†From the Heartbleed official homepage: <a href="http://heartbleed.com/" target="_blank">http://heartbleed.com/</a><br>
<br>
<br>
Status of different versions<br>
===================<br>
* OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable<br>
* OpenSSL 1.0.1g is NOT vulnerable<br>
* OpenSSL 1.0.0 branch is NOT vulnerable<br>
* OpenSSL 0.9.8 branch is NOT vulnerable<br>
<br>
<br>
With the release of Shrew 2.2.0+ I understand the OpenSSL package has<br>
been upgraded to OpenSSL 1.0.1c.<br>
<br>
As I run the VPN Trace program and it can be found in the log:<br>
<br>
Logs from ShrewSoft VPN Trace - IKE Service (Level output = Informational)<br>
14/03/26 15:23:18 ## : IKE Daemon, ver 2.2.2<br>
14/03/26 15:23:18 ## : Copyright 2013 Shrew Soft Inc.<br>
14/03/26 15:23:18 ## : This product linked [ OpenSSL 1.0.1c ] 10 May 2012<br>
14/03/26 15:23:18 ii : opened 'C:\Program Files\ShrewSoft\VPN Client\debug\iked.log'<br>
<br>
<br>
Is there any security risk in using Shrew VPN client associated with<br>
this version of OpenSSL, which is affected by the Heartbleed vulnerability?<br>
<br>
<br>
<br></div></div>
*/Regards,/*<br>
*/- Willy/*<br>
<br>
<br>
<br>
______________________________<u></u>_________________<br>
vpn-devel mailing list<br>
<a href="mailto:vpn-devel@lists.shrew.net" target="_blank">vpn-devel@lists.shrew.net</a><br>
<a href="https://lists.shrew.net/mailman/listinfo/vpn-devel" target="_blank">https://lists.shrew.net/<u></u>mailman/listinfo/vpn-devel</a><br>
<br>
</blockquote>
<br>
</blockquote></div><br></div></div>