
<div dir="ltr">Hi Matthew,<div><br></div><div><br></div><div>Thanks very much for the clarification.</div><div><br></div><div><br></div><div><br></div><div>Regards,</div><div>-Willy</div><div><br></div><div><br></div><div class="gmail_extra">


<br><br><div class="gmail_quote">On Thu, May 29, 2014 at 2:32 PM, Matthew Grooms <span dir="ltr"><<a href="mailto:mgrooms@shrew.net" target="_blank">mgrooms@shrew.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


Hi Willy,<br>

<br>

Heartbleed affects products that link against vulnerable versions of OpenSSL libssl to provide support for SSL/TLS. The Shrewsoft VPN client only links to libcrypto which provides cryptographic functions, but not SSL/TLS functionality. IPsec doesn't leverage SSL/TLS. For more info, please see ...<br>


<br>

<a href="http://heartbleed.com/" target="_blank">http://heartbleed.com/</a><br>

<br>

Hope this helps,<br>

<br>

-Matthew<div><div><br>

<br>

On 4/12/2014 12:50 AM, Willy Yuen wrote:<br>

</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>

Hello,<br>

<br>

Recently, there is widespread media coverage on OpenSSL Heartbleed<br>

vulnerability.<br>

Bruce Schneier does an excellent job of summarizing the vulnerability<br>

and its significance here:<br>

<br>

<br>

<a href="https://www.schneier.com/blog/archives/2014/04/heartbleed.html" target="_blank">https://www.schneier.com/blog/<u></u>archives/2014/04/heartbleed.<u></u>html</a><br>

<br>

<br>

<br>

 From the Heartbleed official homepage: <a href="http://heartbleed.com/" target="_blank">http://heartbleed.com/</a><br>

<br>

<br>

Status of different versions<br>

===================<br>

* OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable<br>

* OpenSSL 1.0.1g is NOT vulnerable<br>

* OpenSSL 1.0.0 branch is NOT vulnerable<br>

* OpenSSL 0.9.8 branch is NOT vulnerable<br>

<br>

<br>

With the release of Shrew 2.2.0+ I understand the OpenSSL package has<br>

been upgraded to OpenSSL 1.0.1c.<br>

<br>

As I run the VPN Trace program and it can be found in the log:<br>

<br>

Logs from ShrewSoft VPN Trace - IKE Service (Level output = Informational)<br>

14/03/26 15:23:18 ## : IKE Daemon, ver 2.2.2<br>

14/03/26 15:23:18 ## : Copyright 2013 Shrew Soft Inc.<br>

14/03/26 15:23:18 ## : This product linked [ OpenSSL 1.0.1c ] 10 May 2012<br>

14/03/26 15:23:18 ii : opened 'C:\Program Files\ShrewSoft\VPN Client\debug\iked.log'<br>

<br>

<br>

Is there any security risk in using Shrew VPN client associated with<br>

this version of OpenSSL, which is affected by the Heartbleed vulnerability?<br>

<br>

<br>

<br></div></div>

*/Regards,/*<br>

*/- Willy/*<br>

<br>

<br>

<br>

______________________________<u></u>_________________<br>

vpn-devel mailing list<br>

<a href="mailto:vpn-devel@lists.shrew.net" target="_blank">vpn-devel@lists.shrew.net</a><br>

<a href="https://lists.shrew.net/mailman/listinfo/vpn-devel" target="_blank">https://lists.shrew.net/<u></u>mailman/listinfo/vpn-devel</a><br>

<br>

</blockquote>

<br>

</blockquote></div><br></div></div>