<div dir="ltr"><div class="gmail_default" style="font-size:small">Hi All,</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><a href="https://www.openssl.org/news/secadv/20220315.txt">https://www.openssl.org/news/secadv/20220315.txt</a><br></div><div class="gmail_default" style="font-size:small"><br></div>TLDR:<br><br>It is possible to trigger the infinite loop by crafting a certificate that <br>has invalid explicit curve parameters.<br><br>You are vulnerable to this if you accept certificates from clients.<br><br>OpenSSL 1.0.2 is out of support and no longer receiving public updates. Extended<br>support is available for premium support customers:<br><a href="https://www.openssl.org/support/contracts.html">https://www.openssl.org/support/contracts.html</a><br><br>OpenSSL 1.1.0 is out of support and no longer receiving updates of any kind.<br>It is affected by the issue.<br><br>Users of these versions should upgrade to OpenSSL 3.0 or 1.1.1.<div><br></div><div><div class="gmail_default" style="font-size:small">All the best,</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Ron Teitelbaum</div><br></div></div>