<div dir="ltr">I'm pretty sure we aren't vulnerable and our analysis so far seems to confirm this. Obviously, you can take down a Vinyl instance by hammering it, but no amplification is happening. Also, we've been in touch with the Calif guys before and they didn't notify us this time. These individuals found VSV19, so they know how to reach us.<br><br>Per.</div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Thu, Jun 4, 2026 at 10:18 AM Poul-Henning Kamp <<a href="mailto:phk@phk.freebsd.dk">phk@phk.freebsd.dk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Found it:<br>
<br>
        <a href="https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb" rel="noreferrer" target="_blank">https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb</a><br>
<br>
I think the way we manage workspace and HTTP headers is safe against<br>
this.<br>
<br>
Have not checked vtest2<br>
<br>
-- <br>
Poul-Henning Kamp       | UNIX since Zilog Zeus 3.20<br>
phk@FreeBSD.ORG         | TCP/IP since RFC 956<br>
FreeBSD committer       | BSD since 4.3-tahoe    <br>
Never attribute to malice what can adequately be explained by incompetence.<br>
_______________________________________________<br>
vinyl-dev mailing list<br>
<a href="mailto:vinyl-dev@vinyl-cache.org" target="_blank">vinyl-dev@vinyl-cache.org</a><br>
<a href="https://vinyl-cache.org/lists/mailman/listinfo/vinyl-dev" rel="noreferrer" target="_blank">https://vinyl-cache.org/lists/mailman/listinfo/vinyl-dev</a><br>
</blockquote></div><div><br clear="all"></div><div><br></div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>Per Buer</div><div>Varnish Software</div></div></div>