<div dir="ltr">
<div>Hello,</div><div><br></div><div>Our server does not consume any certificate from the client. <br></div><div>
Client authentication or client certificate verification is disabled.</div><div>
<div>Server always has a valid ECC certificate.</div><div><br></div>


BN_mod_sqrt() is not used anywhere in the server except by openssl.
</div><br><div>If we consider ECDHE_ECDSA cipher based TLS handshake, 
then it is possible that the client can send invalid public session key 
to the server causing the vulnerability. Is this assumption correct ? <br></div><div><br></div><div>If
 yes, then I think disabling ECC cipher suites should prevent the 
vulnerability if we don't want to upgrade openssl considering there is no other cryptographic operation 
except w.r.t. TLS.</div><div><br></div><div>Regards,</div><div>Vipul<br></div>

</div>