Timeline for patching SSL vulnerability (Heartbleed Bug)

In this specific instance, the vulnerability in SSL affects three main subsystems, WebAdmin, User Portal & SSL VPN. The first shouldn't be exposed publicly anyways, the second & third can be disabled temporarily.

For my organization, the cost to my firm for shutting down the SSL VPN for a week till it's patched is an order of magnitude smaller then the cost of downtime due to a bad patch dropping my primary UTM. Shutting off the SSL VPN affects half a dozen users, a broken UTM impacts over 100. You do the math.

In this specific instance, the vulnerability in SSL affects three main subsystems, WebAdmin, User Portal & SSL VPN. The first shouldn't be exposed publicly anyways, the second & third can be disabled temporarily.

For my organization, the cost to my firm for shutting down the SSL VPN for a week till it's patched is an order of magnitude smaller then the cost of downtime due to a bad patch dropping my primary UTM. Shutting off the SSL VPN affects half a dozen users, a broken UTM impacts over 100. You do the math.

Will this patch most likely update without intervention, or will I need to login to the UTM?

I have User Portal running and VPN, but I'm not using the VPN.  I won't be able to turn it off due to lack of access to the administration side for a couple days.

What kind of risk am I at if I do not use the VPN (it is available), but have the User Portal accessible?