Thomas-Krenn-Wiki - Neue Seiten [de-formal]

Aranzinger:

= AIC Backplane Firmware- und MFG-Update via serielle Konsole =

In diesem Artikel wird das '''Aktualisieren''' der '''AIC-Backplane-Firmware''' sowie des '''MFG''' mittels '''serieller Konsole''' beschrieben.

== Hardware-Voraussetzungen ==

Rückseite des 4HE AIC Gehäuses XE1-4BT00-05. AUX-Anschlüsse zum Flashen sind markiert. Der obere ist mit der vorderen 24-Bay-Backplane verbunden.

Benötigt werden zwei Kabel:
<gallery widths="250" heights="250">
Datei:SerialCableAux.jpeg|alternativtext=Serielles Kabel mit 3,5-mm-Klinkenanschluss|1.: Serielles Kabel mit 3,5-mm-Klinkenanschluss (AUX)
Datei:SerialCableAuxJEXP UART.JPG|alternativtext=Adapterkabel von AUX nach JEXP_UART|2.: Adapterkabel von AUX nach JEXP_UART. Dieses befindet sich bei einem Thomas-Krenn-Server im Zubehör oder ist bereits im System verbaut (siehe rechts).
</gallery>

Es empfiehlt sich zusätzlich, ein sekundäres System zum Flashen einzusetzen (z. B. einen Laptop oder einen benachbarten Server).

=== Kabelverbindung zwischen Backplane und Sekundärsystem ===
Der JEXP_UART-Header an der Backplane besteht aus sechs Pins, wobei lediglich die oberen drei zum Flashen benötigt werden.

Beispiel-Backplane mit markiertem JEXP_UART-Header

Ein angeschlossenes JEXP_UART-Kabel (Draufsicht). Kabelfarben von links nach rechts: Rot, Schwarz, Gelb.

Das andere Ende wird über den seriellen Anschluss mit dem Sekundärsystem verbunden.

Serielles Kabel am Sekundärsystem angeschlossen

== Verbindung aufbauen ==
Zum Verbindungsaufbau wird ein Programm wie PuTTY oder ExtraPuTTY benötigt. Aufgrund der erweiterten Datenübertragungsmöglichkeiten wird '''ExtraPuTTY''' empfohlen.

Folgende Parameter müssen gesetzt sein:

Parameter	Wert
Speed (Baudrate)	38400
Data Bits	8
Stop Bits	1
Parity	none
Flow Control	none

<gallery widths="250" heights="250">
Datei:PuttySettings.png|alternativtext=Verbindungseinstellungen|Einstellungen für den Verbindungsaufbau mit der Backplane
Datei:SessionOffen.png|alternativtext=Offene serielle Session|Offene Session. Nach Drücken der Enter-Taste sollte „cmd >“ erscheinen.
</gallery>

=== Auslesen der aktiven Firmware / MFG ===
Die Befehle '''rev''' und '''showmfg''' können zum Auslesen der aktuell installierten Firmware bzw. des MFG verwendet werden.

<gallery widths="250" heights="250">
Datei:Rev.png|alternativtext=Befehl rev|Der Befehl '''rev''' zeigt die aktuelle Firmware-Version an
Datei:Showmfg.png|alternativtext=Befehl showmfg|Der Befehl '''showmfg''' zeigt die aktuelle MFG-Version an
</gallery>

== Flashen der Backplane ==

=== Vorkehrungen ===
Um sicherzustellen, dass die Backplane ordnungsgemäß funktioniert und kein Hardwaredefekt o. Ä. vorliegt, sollten vor dem eigentlichen Flashen einige Befehle ausgeführt und deren Ergebnisse überprüft werden.

<gallery widths="250" heights="250">
Datei:Sensor.png|alternativtext=Befehl sensor|Mit dem Befehl '''sensor''' können Werte wie Temperatur oder angeschlossene Lüfter ausgelesen werden
Datei:Phyinfo.png|alternativtext=Befehl phyinfo|Der Befehl '''phyinfo''' gibt Informationen zu den verbundenen Datenträgern aus (im Screenshot sind keine verbaut)
Datei:Counters.png|alternativtext=Befehl counters|Der Befehl '''counters''' zeigt verschiedene Fehlerzähler an. Die Werte nvWrdCnt, DispErrCnt, LossSyncCnt und RstSeqFailCnt sollten für alle Adressen auf 0 stehen. Andernfalls können die Werte mit '''counters reset''' zurückgesetzt werden. Anschließend erneut '''counters''' ausführen. Bleiben die Werte ungleich 0, liegt wahrscheinlich ein Defekt vor.<ref name=":0">EOB Backplane Check-up via Serial console</ref>
</gallery>

=== Firmware-Update<ref name=":0" /> ===
<gallery widths="250" heights="250">
Datei:Fdl 0 0.png|alternativtext=Befehl fdl 0 0|Mit dem Befehl '''fdl 0 0''' wird die Backplane in den Update-Modus versetzt und erwartet eine Firmware-Datei
Datei:FileTransfer.png|alternativtext=Xmodem Transfer|Zum Übertragen der Firmware wird das Xmodem-Protokoll verwendet. In ExtraPuTTY erfolgt dies über „File Transfer → Xmodem → Send“
Datei:FirmweareFile.png|alternativtext=Firmwaredatei auswählen|Auswahl der gewünschten Firmware-Datei
Datei:Datenuebertragung.png|alternativtext=Firmware Upload|Upload und Flash-Vorgang starten automatisch
Datei:Transferdone.png|alternativtext=Upload erfolgreich|Nach Abschluss erscheint die Meldung „Upload success“
</gallery>

=== MFG-Update<ref name=":0" /> ===
Das Aktualisieren des MFG erfolgt analog zum Firmware-Update.

<gallery widths="250" heights="250">
Datei:Fdl 83 0.png|alternativtext=Befehl fdl 83 0|Mit dem Befehl '''fdl 83 0''' wird der Update-Modus gestartet
Datei:Mfg file.png|alternativtext=MFG-Datei auswählen|Auswahl der entsprechenden MFG-Datei
Datei:Mfg transfer.png|alternativtext=MFG Transfer|Die Datenübertragung beginnt
</gallery>

=== Nach den Updates ===
Sind keine Datenträger an der Backplane angeschlossen, kann das Update mit dem Befehl '''reset''' abgeschlossen werden.

Der Befehl '''reset''' startet die Backplane neu

'''Vorsicht:''' Wird der Befehl '''reset''' ausgeführt, während sich Datenträger mit aktivem RAID-Verbund an der Backplane befinden, kann dies dazu führen, dass das RAID degradiert oder vollständig ausfällt.

Andernfalls muss das gesamte System neu gestartet werden.

Die neue Firmware ist nun auf der Backplane aktiv

== Einzelnachweise ==
<references />

Autor: Simon Wolf

Seit 2022 ist Simon als Hardware-Techniker bei Thomas-Krenn.AG . Er beschäftigt sich neben der Reparatur von Kunden- und Firmeneigenen Systemen mit allerlei Themen rund um Hardware.

	'''Date & Time'''<br> Hier werden '''Datum, Uhrzeit und Zeitsynchronisation''' des BMC konfiguriert, einschließlich NTP.
	'''Network Settings'''<br> Hier werden die '''Netzwerkeinstellungen des BMC''' festgelegt, beispielsweise IP-Adresse, Gateway, VLAN und DNS.
	'''Services'''<br> Hier werden '''BMC-Dienste''' wie Web, SSH, KVM oder SNMP aktiviert beziehungsweise deaktiviert.
	'''IPMI Interfaces'''<br> Hier werden die '''IPMI-Schnittstellen''' konfiguriert.
	'''Identify LED'''<br> Über diesen Punkt kann die '''Identify-LED''' des Systems gesteuert werden.
	'''Fan Control'''<br> Hier lässt sich die '''Lüftersteuerung''' konfigurieren.

	'''User Management'''<br> Im Bereich '''Benutzerverwaltung''' werden Benutzerkonten und Berechtigungen verwaltet.
	'''External User Services'''<br> Dieser Bereich dient zur Anbindung externer '''Authentifizierungsdienste''' wie LDAP oder Active Directory.
	'''PAM Order Settings'''<br> Hier wird die '''Reihenfolge der Authentifizierungsmethoden''' definiert.
	'''SSL Settings'''<br> Dieser Bereich umfasst die '''SSL- und Zertifikatsverwaltung'''.
	'''System Firewall'''<br> Hier kann der Zugriff auf das BMC über eine '''integrierte Firewall''' eingeschränkt werden.

	'''Log Settings'''<br> Unter diesem Punkt werden Einstellungen zu '''System- und Audit-Logs''' vorgenommen.
	'''Platform Event Filter'''<br> Der '''Platform Event Filter''' ermöglicht automatisierte Aktionen bei Hardware-Ereignissen, beispielsweise das Versenden von SNMP-Traps.
	'''SMTP Settings'''<br> Hier werden die Einstellungen für den '''E-Mail-Versand''' hinterlegt.
	'''Captured BSOD'''<br> In diesem Bereich werden vom BMC erfasste '''Blue-Screen-Fehler''' eines Windows-Systems angezeigt, sofern diese erkannt und aufgezeichnet wurden.

Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''	SEV FW	TCB‑Wert für die SEV‑Attestierung	TCB‑Wert für die SNP‑Attestierung
CVE-2025-54502	7.1 (Hoch)	MilanPI 1.0.0.J (2025-12-15)	N/A	N/A	N/A
CVE-2025-54510	5.9 (Mittel)	MilanPI 1.0.0.J (2025-12-15)	N/A	TCB[SNP]>=0x1D mitigation bit = 4	N/A
CVE-2023-20585	5.6 (Mittel)	MilanPI 1.0.0.H (2025-09-04) + OS Update	SEV FW 1.37.23 + OS Update	N/A	TCB[SNP]>=0x1B

Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''	SEV FW	TCB‑Wert für die SEV‑Attestierung	TCB‑Wert für die SNP‑Attestierung
CVE-2025-54502	7.1 (Hoch)	GenoaPI 1.0.0.H (2025-12-15)	N/A	N/A	N/A
CVE-2025-54510	5.9 (Mittel)	GenoaPI 1.0.0.H (2025-12-15)	N/A	TCB[SNP]>=0x1C	N/A
CVE-2023-20585	5.6 (Mittel)	GenoaPI_1.0.0.G (2025-06-27) + OS Update	SEV FW 1.37.31 + OS Update	N/A	TCB[SNP]>=0x1B

Thomas-Krenn-Wiki - Neue Seiten [de-formal]

AIC Backplane Firmware- und MFG-Update via serielle Konsole

Fortron TwinsPro FSP900 DUAL Netzteil unter Linux auslesen

Internet-Speed-Test mit LibreSpeed

TKMI Remote Control

TKMI Settings

SNMP im TKMI aktivieren und konfigurieren

AMD Sicherheitslücken - April 2026

Windows Secure Boot Zertifikat Ende der Gültigkeit

Q-Feeds Webinterface und Lizenz aktivieren

Q-Feeds Connect Einrichtung unter OPNsense 26.1

Q-Feeds Versionen Featurevergleich

Backup und Restore unter Debian 13 mit Proxmox Backup Client

Advantech Industrie Firewall Server

KeePassXC Passwortmanager

Ergänzung zu Sicherheitshinweise Intel Produkten 2026.1 IPU

Qemu drive cache Option

TKMI Logs & Reports

Ext4 Write Barriers

LCD Display von FWA-3034 unter FreeBSD und OPNsense verwenden

OPNsense 26.1 Firewall Regel Migration

LSA LSI Storage Authority Software

Sicherheitshinweise zu AMD-SB-4013

Sicherheitshinweise zu AMD-SB-3023

Sicherheitshinweise zu Intel Produkten 2026.1 IPU

	'''KVM Mouse Settings'''<br> Hier lassen sich Einstellungen für die '''Maussteuerung in der Remote-KVM-Konsole''' vornehmen.
	'''Media Redirection Settings'''<br> Dieser Bereich enthält Optionen zur '''virtuellen Medienumleitung''', etwa zum Einbinden von ISO-Dateien über die KVM-Konsole.
	'''Video Recording'''<br> Dieser Bereich bietet Funktionen zur '''Aufzeichnung von Remote-KVM-Sitzungen'''.

Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''	SEV FW	TCB‑Wert für die SEV‑Attestierung	TCB‑Wert für die SNP‑Attestierung
CVE-2025-54502	7.1 (Hoch)	TurinPI 1.0.0.9 (2025-12-31)	N/A	N/A	N/A
CVE-2025-54510	5.9 (Mittel)	TurinPI 1.0.0.8 (2025-11-26)	N/A	TCB[SNP]>=0x5	N/A

CPU	'''AGESA Version'''
AMD Ryzen Threadripper PRO 3000WX	ChagallWSPI-sWRX8 1.0.0.D (2025-11-04) CastlePeakWSPI-sWRX8 1.0.0.I (2025-10-17)
AMD Ryzen Threadripper PRO 5000WX	ChagallWSPI-sWRX8 1.0.0.D (2025-11-04)
AMD Ryzen Threadripper 7000	ShimadaPeakPI-SP6 1.0.0.1c (2025-10-21)
AMD Ryzen Threadripper PRO 7000WX	ShimadaPeakPI-SP6 1.0.0.1c (2025-10-21) StormPeakPI-SP6 1.0.0.1m (2025-12-01) StormPeakPI-SP6_1.1.0.0k (2025-12-01)
AMD Ryzen Threadripper 9000	ShimadaPeakPI-SP6 1.0.0.1c (2025-10-21)
AMD Ryzen Threadripper PRO 9000WX	ShimadaPeakPI-SP6 1.0.0.1c (2025-10-21)

AMD Motherboard	'''BIOS Version'''
H12SSW-iN/NT	3.6
H12SSL-i/C/CT/NT	3.6
H12DSi-N6/NT6	3.6
H13SSW	3.9
H13SSL-N/NC	3.9

Auslaufende Zertifikate	Auslauf Datum	Neues Zertifikat	Speicherort	Zweck
'''Microsoft Corporation KEK CA 2011'''	Juni 2026	Microsoft Corporation KEK 2K CA 2023	Im KEK gespeichert	Signiert Updates für DB und DBX.
'''Microsoft Windows Production PCA 2011'''	Okt 2026	Windows UEFI CA 2023	In Datenbank gespeichert	Wird zum Signieren des Windows-Startladeprogramms verwendet.
'''Microsoft UEFI CA 2011''*'''''	Juni 2026	Microsoft UEFI CA 2023	In Datenbank gespeichert	Signiert Startladeprogramme von Drittanbietern und EFI-Anwendungen.
'''Microsoft UEFI CA 2011''*'''''	Juni 2026	Microsoft Option ROM UEFI CA 2023	In Datenbank gespeichert	Signiert Option-ROMs von Drittanbietern

	Feature	Community Edition	Plus	Premium
Services	Active Support	-	✔	✔
Easy Integration	✔	✔	✔
Curated data	✔	✔	✔
Update frequency	delayed by 7 days	delayed by 4 hours	every 20 minutes
IoC (indicators of compromise) lookup	-	✔	✔
EASM (External Attack Service Management)	-	1 scan per week	1 scan per day
Dark web monitoring	-	✔	✔
Brand Protection	-	-	✔
OSINT (Open-Source Intelligence)	IP	✔	✔	✔
DNS	✔	✔	✔
Paid	IP	-	✔	✔
DNS	-	-	✔

Server	<tklink type="sitex" id="20756">UNO-2271G V2</tklink><br>	<tklink type="sitex" id="20804">FWA-1012VC-4CA1S</tklink><br>	<tklink type="sitex" id="20803">FWA-1012VC-8CA1S</tklink><br>	<tklink type="sitex" id="20805">FWA-1112VC-4CA1S</tklink><br>	<tklink type="sitex" id="20802">FWA-2012-16A1S</tklink><br>	<tklink type="sitex" id="21233">FWA-1214LRI-4CA1R</tklink><br>	<tklink type="sitex" id="21233">FWA-1214FRI-8CA1R</tklink><br>	<tklink type="sitex" id="21123">FWA-3034</tklink><br>	<tklink type="sitex" id="21073">FWA-5072-00A1R</tklink><br>
Besonderheiten	Lüfterlos 2 NICs optional 2 zusätzliche NICs (2x i350)	4 NICs 2 SFP Intel QAT	6 NICs 2 SFP Intel QAT	6 NICs 2 SFP+ 10 Gbit Intel QAT Hoher Temperaturbereich	6 NICs Intel QAT 1x NMC	4 Kerne (Atom x7433RE) 4 NICs	8 Kerne (Atom x7835RE) 4 NICs 2 SFP (FWA-1214FRI-8CA1R)	Front I/O 8x 2,5 Gbit onboard 2x 10 Gbit onboard 1x NMC red. NT	Front I/O 4x NMC red. NT
Mainboard	UNO-2271G-N221AE	FWA-1012VC 4-Core	FWA-1012VC 8-Core	Advantech Mainboard FWA-1112VC	Advantech Mainboard FWA-2012	Advantech Mainboard FWA-1214	Advantech Mainboard FWA-1214	Advantech Mainboard FWA-3034	Advantech Mainboard FWA-5072-00A1R
CPU<br><br> Taktfrequenz Cores / Threads AES-NI Instructions	Celeron N6210<br><br> 1,2 GHz 2 / 2 Ja	Atom C3558<br><br> 2,2 GHz 4 / 4 Ja	Atom C3758<br><br> 2,2 GHz 8 / 8 Ja	Atom C3558<br><br> 2,2 GHz 4 / 4 Ja	Atom C3958<br><br> 2,0 GHz 16 /16 Ja	Atom x7433RE<br><br> 3,4 GHz 4 / 4 Ja	Atom x7835RE<br><br> 3,6 GHz 8 / 8 Ja	Core i3-13100TE - Core i7-12700E<br><br> 4,1 - 5,1 GHz 8 / 8 - 12 / 20 Ja	Xeon Silver 4509Y - Xeon Platinum 8580<br><br> 2,0 - 3,9 GHz 8 / 16 - 60 / 120 Ja
RAM	2 - 8 GB	8 - 32 GB	8 - 32 GB	8 - 32 GB	8 - 32 GB	8 GB	8 GB	8 - 64 GB	16 - 1024 GB
Disk (SATA)	-	-	-	-	-	-	-	2	2
Disk (NVMe und weitere)	32 GB eMMC onboard 1 mSATA	1 SATA M.2 2280	1 SATA M.2 2242/2280	1 SATA M.2 2280	1 SATA M.2 2280	64GB M.2 SATA SSD 2242 onboard	64GB M.2 SATA SSD 2242 onboard	1 SATA/NVMe M.2 2280	2 SATA/NVMe M.2 2280
NICs 1 Gbit (enthalten)	2 (2x i211)	6 (4x RJ45, 2x SFP)	8 (6x RJ45, 2x SFP)	4 (2x i211, 2x X553 L)	6 (6x RJ45)	4 (4x RJ45)	6 (4x RJ45 und 2x SFP)	2 (2x SFP)	2 (2x RJ45)
NICs 2,5 Gbit (enthalten)	-	-	-	-	-	-	-	8 (8x i226-LM)	-
NICs 10 Gbit (enthalten)	-	-	-	2 (2x X553 N)	-	-	-	2 (2x X710)	-
NICs 25 Gbit (enthalten)	-	-	-	-	-	-	-	-	-

Intel Security Advisory	Titel	Betroffene Systeme
INTEL-SA-01393	2026.1 IPU, UEFI Reference Firmware Advisory	(siehe Intel-SA)
INTEL-SA-01234	2025.3 IPU, UEFI Reference Firmware Advisory

cache	-device Option	-blockdev Optionen	Anmerkungen<ref>libvirt: Use 'writeback' QEMU cache mode when 'none' is not viable (opendev.org/openstack/nova, 04.05.2019) <cite>The thing that makes 'writethrough' so safe against host crashes is that it never keeps data in a "write cache", but it calls fsync() after _every_ write. This is also what makes it horribly slow. But 'cache=none' doesn't do this and therefore doesn't provide this kind of safety. The guest OS must explicitly flush the cache in the right places to make sure data is safe on the disk. And OSes do that.<br> So if 'cache=none' is safe enough for you, then 'cache=writeback' should be safe enough for you, too -- because both of them have the boolean 'cache.writeback=on'. The difference is only in 'cache.direct', but 'cache.direct=on' only bypasses the host kernel page cache and data could still sit in other caches that could be present between QEMU and the disk (such as commonly a volatile write cache on the disk itself).</cite></ref>
Name QEMU	Name Proxmox VE GUI	cache.writeback	cache.direct	cache.no-flush	Gewährleistung Datenintegrität nach einem plötzlichen Ausfall des Hosts	Schreib-Performance
writeback	Write back	✔ (on)	-	-	Hoch, wenn das Gast-Betriebssystem/Dateisystem regelmäßig den Cache-Inhalt auf Disk schreibt (flush). Dies wird von modernen Dateisystemen in der Regel automatisch durchgeführt. Siehe dazu auch Ext4 Write Barriers.	Pagecache des Hosts wird verwendet.	Hoch
none	No cache	✔ (on)	✔ (on)	-	Pagecache des Hosts wird nicht verwendet. Dennoch können sich Daten in anderen Caches (z.B. Cache einer HDD) befinden. Daher muss das Gast-Betriebssystem dennoch regelmäßig flushes durchführen.
writethrough	Write through	-	-	-	Sehr hoch, da QEMU mit Cache Modus "writethrough" Daten niemals in einem "Schreibcache" speichert, sondern '''nach jedem Schreibvorgang die Funktion fsync() aufruft'''.	Pagecache des Hosts wird verwendet.	Geringer, da nach jedem Schreibvorgang die Funktion fsync() aufgerufen wird.
directsync	Direct sync	-	✔ (on)	-	Pagecache des Hosts wird nicht verwendet.
unsafe	Write back (unsafe)	✔ (on)	-	✔ (on)	Keine Gewährleistung der Datenintegrität! Hohes Risiko eines Datenverlustes! Dieser Caching-Modus soll nur für temporäre Daten verwendet werden, bei denen Datenverlust kein Problem darstellt. Dieser Modus kann zur Beschleunigung von Gastinstallationen nützlich sein, danach sollte aber in Produktionsumgebungen unbedingt zu einem anderen Caching-Modus gewechselt werden.<ref>https://opendev.org/openstack/nova/src/commit/18a7dcb6e816e26e405259e981498f6a7bc71608/nova/conf/libvirt.py#L724</ref>	Pagecache des Hosts wird verwendet.	Am höchsten

Disk (Einstellung Proxmox VE GUI)	Abfrage Cache via	Ergebnis bei cache.writeback=on	Ergebnis bei cache.writeback=off	Anmerkung
IDE	<nowiki>hdparm -I /dev/sdc \| grep "Write cache"</nowiki>	* Write cache	Write cache (kein Stern davor)	hdparm führt ein ATA IDENTIFY DEVICE Kommando aus, um die Einstellung abzufragen.
SATA
VirtIO Block	cat /sys/block/vda/queue/write_cache	write back	write through	Der VirtIO Block Treiber stellt die Information via sysfs zur Verfügung.
SCSI	sdparm --get=WCE /dev/sda	WCE = 1	WCE = 0	sdparm führt ein SCSI MODE SENSE Kommando aus, um die Einstellung abzufragen. WCE steht dabei für "Writeback Cache Enable".

Debian 13 VM mit raw
Cache Einstellung	diskchecker.pl Ergebnis
Default (No cache)	Total errors: 0
Write back (unsafe)	Total errors: 2786
Write through	Total errors: 0
Write back	Total errors: 0
Direct sync	Total errors: 0

Testfall	HDD Western Digigital WD5003ABYX	Intel SSD mit PLP	Samsung SSD ohne PLP
barriers=1 (aktiviert)	kein Datenverlust	kein Datenverlust	kein Datenverlust
barriers=0 (deaktiviert)	Datenverlust	kein Datenverlust	kein Datenverlust (Achtung: Datenverlust dennoch nicht ausgeschlossen!)

Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''
CVE-2021-26381	7.1 (Hoch)	ChagallWSPI-sWRX8 1.0.0.2 (2022-01-20) CastlePeakWSPI-sWRX8 1.0.0.9 (2022-01-20)
CVE-2024-21961	6.0 (Mittel)	Kein Fix geplant
CVE-2024-36355	7.0 (Hoch)	ChagallWSPI-sWRX8-1.0.0.B (2024-12-24) CastlePeakWSPI-sWRX8 1.0.0.G (2024-12-30)
CVE-2025-29949	4.8 (Mittel)	ChagallWSPI-sWRX8 1.0.0.C (2025-04-03) CastlePeakWSPI-sWRX8 1.0.0.H (2025-03-31)
CVE-2025-29950	7.1 (Hoch)	ChagallWSPI-sWRX8 1.0.0.C (2025-04-03) CastlePeakWSPI-sWRX8 1.0.0.I (2025-10-27)
CVE-2025-52533	8.7 (Hoch)	Behebung in Key Distribution Server (KDS)

Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''
CVE-2021-26381	7.1 (Hoch)	ChagallWSPI-sWRX8 1.0.0.1 (2021-11-10)
CVE-2024-36355	7.0 (Hoch)	ChagallWSPI-sWRX8-1.0.0.B (2024-12-24)
CVE-2025-29949	4.8 (Mittel)	ChagallWSPI-sWRX8 1.0.0.C (2025-04-03)
CVE-2025-29950	7.1 (Hoch)	ChagallWSPI-sWRX8 1.0.0.C (2025-04-03)
CVE-2025-52533	8.7 (Hoch)	Behebung in Key Distribution Server (KDS)

Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''
CVE-2024-36310	4.6 (Mittel)	StormPeakPI-SP6_1.1.0.0j (2025-06-11)
CVE-2024-36355	7.0 (Hoch)	StormPeakPI-SP6 1.1.0.0i (2024-12-18)
CVE-2025-29950	7.1 (Hoch)	ShimadaPeakPI-SP6_1.0.0.1 (2025-05-07)
CVE-2025-52533	8.7 (Hoch)	Behebung in Key Distribution Server (KDS)

Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''
CVE-2024-36310	4.6 (Mittel)	StormPeakPI-SP6_1.0.0.1l (2025-06-18) StormPeakPI-SP6_1.1.0.0j (2025-06-11)
CVE-2024-36355	7.0 (Hoch)	StormPeakPI-SP6 1.0.0.1k (2024-12-20) StormPeakPI-SP6 1.1.0.0i (2024-12-18)
CVE-2025-29950	7.1 (Hoch)	ShimadaPeakPI-SP6_1.0.0.1 (2025-05-07) StormPeakPI-SP6_1.0.0.1l (2025-06-18) StormPeakPI-SP6_1.1.0.0j (2025-06-11)
CVE-2025-52533	8.7 (Hoch)	Behebung in Key Distribution Server (KDS)

Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''	SEV FW	µcode
CVE-2025-29950	7.1 (Hoch)	NaplesPI 1.0.0.R (2025-07-31)	N/A	N/A
CVE-2025-52533	8.7 (Hoch)	Kein Fix geplant	N/A	N/A

Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''	SEV FW	µcode
CVE-2025-29950	7.1 (Hoch)	RomePI 1.0.0.N (2025-08-14)	N/A	N/A
CVE-2024-21961	6.0 (Mittel)	Workaround in Custom BIOS Settings (CBS)	N/A	N/A
CVE-2025-52533	8.7 (Hoch)	Kein Fix geplant	N/A	N/A

Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''	SEV FW	µcode
CVE-2025-48514	4.0 (Mittel)	MilanPI 1.0.0.H (2025-09-04)	SEV FW 1.37.23 SPL[SEV]=0x1B mitigation bit=3	B1:0x0A0011DE B2:0x0A001247
CVE-2025-29939	6.9 (Mittel)	MilanPI 1.0.0.H (2025-09-04)	SEV FW 1.37.23 SPL[SEV]=0x1B mitigation bit=3	N/A
CVE-2025-48509	1.8 (Niedrig)	MilanPI 1.0.0.H (2025-09-04)	SEV FW 1.37.23 SPL[SEV]=0x1B mitigation bit=3	N/A
CVE-2025-0031	4.6 (Mittel)	MilanPI 1.0.0.H (2025-09-04)	SEV FW 1.37.20 SPL[SEV]=0x1A	N/A
CVE-2025-52536	6.7 (Mittel)	MilanPI 1.0.0.H (2025-09-04)	SEV FW 1.37.1F SPL[SEV]=0x1A	N/A
CVE-2025-29950	7.1 (Hoch)	MilanPI 1.0.0.H (2025-09-04)	N/A	N/A
CVE-2025-52533	3.8 (Niedrig)	MilanPI 1.0.0.G (2025-01-30)	N/A	N/A

Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''	SEV FW	µcode
CVE-2025-48514	4.0 (Mittel)	TurinPI 1.0.0.6 (2025-06-30)	SEV FW 1.37.41 SPL[SEV]=0x4 mitigation bit=3	C1:0x0B002151 Dense B0: 0x0B10104E
CVE-2025-54514	4.8 (Mittel)	TurinPI 1.0.0.6 (2025-06-30)	N/A	BRH C1: 0x0B002151 BRHD B0: 0x0B10104E
CVE-2025-29939	6.9 (Mittel)	TurinPI 1.0.0.6 (2025-06-30)	SEV FW 1.37.41 SPL[SEV]=0x4 mitigation bit=3	N/A
CVE-2025-29946	4.5 (Mittel)	TurinPI 1.0.0.6 (2025-06-30)	SEV FW 1.37.41 SPL[SEV]=0x4 mitigation bit=3	N/A
CVE-2025-29948	5.9 (Mittel)	TurinPI 1.0.0.6 (2025-06-30)	SEV FW 1.37.41 SPL[SEV]=0x4 mitigation bit=3	N/A
CVE-2025-29952	5.9 (Mittel)	TurinPI 1.0.0.6 (2025-06-30)	SEV FW 1.37.41 SPL[SEV]=0x4 mitigation bit=3	N/A
CVE-2025-48517	4.6 (Mittel)	TurinPI 1.0.0.6 (2025-06-30)	SEV FW 1.37.41 SPL[SEV]=0x4 mitigation bit=3	N/A
CVE-2025-52536	6.7 (Mittel)	TurinPI 1.0.0.5 (2025-04-18)	SEV FW 1.37.3D SPL[SEV]=0x2	N/A
CVE-2025-48509	1.8 (Niedrig)	TurinPI 1.0.0.5 (2025-04-18)	SEV FW 1.37.3D SPL[SEV]=0x2	N/A
CVE-2025-0031	4.6 (Mittel)	TurinPI 1.0.0.5 (2025-04-18)	SEV FW 1.37.3D SPL[SEV]=0x2	N/A
CVE-2025-0029	1.8 (Niedrig)	TurinPI 1.0.0.5 (2025-04-18)	N/A	N/A
CVE-2025-29950	7.1 (Hoch)	TurinPI 1.0.0.6 (2025-06-30)	N/A	N/A
CVE-2024-36310	4.6 (Mittel)	TurinPI 1.0.0.4 (2025-03-04)	N/A	N/A
CVE-2025-0012	6.8 (Mittel)	TurinPI 1.0.0.4 (2025-03-04)	N/A	C1: 0x0B002147 Dense B0: 0x0B101047
CVE-2025-52534 Nur Turin Dense	5.3 (Mittel)	TurinPI 1.0.0.6 (2025-06-30)	N/A	Dense B0: 0x0B10104E

AMD Motherboard	'''BIOS Version'''
H11 - EPYC 7001 / 7002	3.5
H12SSW-iN/NT	3.5
H12SSL-i/C/CT/NT	3.5
H12DSi-N6/NT6	3.5
H13SSW	3.8
H13SSL-N/NC	3.8

Intel Security Advisory	Titel	Betroffene Systeme
INTEL-SA-01171	Intel® Ethernet Adapters 800 Series Advisory	(siehe Intel-SA)
INTEL-SA-01412	Intel® Server Board and Intel® Server System Firmware Update Utility Advisory
INTEL-SA-01401	Intel® Server Firmware Advisory
INTEL-SA-01397	2026.1 IPU, Intel® Trust Domain Extensions (Intel® TDX) module Advisory
INTEL-SA-01396	2026.1 IPU, Intel® Processor Firmware Advisory
INTEL-SA-01315	2026.1 IPU, Intel® Chipset Firmware Advisory
INTEL-SA-01314	2025.4 IPU, Intel® TDX Module Advisory
INTEL-SA-01406	Intel® Quick Assist Technology (Intel® QAT) Advisory
INTEL-SA-01403	Intel® NPU Driver Advisory