Timeline for patching SSL vulnerability (Heartbleed Bug)

Regarding to the security advisory from OpenSSL I understand that it is ALL RAM: https://www.openssl.org/news/secadv_20140407.txt, but to be sure you can install a virtual appliance without the patches in a test VM and check it yourself. There are various web pages with online checks and the source code for the attack available.

EDIT: in fact there are very different opinions about that http://arstechnica.com/security/2014/04/critical-crypto-bug-exposes-yahoo-mail-passwords-russian-roulette-style/ - so maybe someone technical engineer from Sophos could give an answer to that

EDIT: http://heartbleed.com/ the website of the person who discovered the bug. There it reads like only session related memory to SSL can be read (scroll down to Q&A)

EDIT: does the SSL VPN between two Sophos UTMs use Forward Security? With this at least our intra corporate traffic would have be safe against reverse encryption...

Regarding to the security advisory from OpenSSL I understand that it is ALL RAM.
...
EDIT: Heartbleed Bug the website of the person who discovered the bug. There it reads like only session related memory to SSL can be read (scroll down to Q&A)

In Linux or most of the other modern operating systems user space processes and their used memory resources are isolated from each other, the so called process isolation [1]. So any process and their corresponding memory areas which were affected by this bug, by including and facing the relevant openssl libraries to the outside, should be considered as compromised. 
Still there is the question how easy it is to obtain a full data set like a private key from this bug [2]. Only junks of data can be extracted by that bug and that means if you want to extract a big chunk of data you have to puzzle it by small segments. But besides the ssl private key data which would normally need such puzzling in all of those memory areas of such a process, there could be also sensitive data like login credentials, session ids and so on. These data usually is in its nature quite short and can often be extracted by one single attack. But because puzzling is not an impossible task for a computer all the data of these external facing services should be considered as compromised/leaked. The gathered data then could be used to do further attacks or privilege escalations which then could lead to a further compromisations.

[1] Process isolation - Wikipedia, the free encyclopedia
[2] http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

Regarding to the security advisory from OpenSSL I understand that it is ALL RAM.
...
EDIT: Heartbleed Bug the website of the person who discovered the bug. There it reads like only session related memory to SSL can be read (scroll down to Q&A)

In Linux or most of the other modern operating systems user space processes and their used memory resources are isolated from each other, the so called process isolation [1]. So any process and their corresponding memory areas which were affected by this bug, by including and facing the relevant openssl libraries to the outside, should be considered as compromised. 
Still there is the question how easy it is to obtain a full data set like a private key from this bug [2]. Only junks of data can be extracted by that bug and that means if you want to extract a big chunk of data you have to puzzle it by small segments. But besides the ssl private key data which would normally need such puzzling in all of those memory areas of such a process, there could be also sensitive data like login credentials, session ids and so on. These data usually is in its nature quite short and can often be extracted by one single attack. But because puzzling is not an impossible task for a computer all the data of these external facing services should be considered as compromised/leaked. The gathered data then could be used to do further attacks or privilege escalations which then could lead to a further compromisations.

[1] Process isolation - Wikipedia, the free encyclopedia
[2] http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html