Am 03.04. erhielten wir einen Hinweis auf eine Sicherheitslücke im cosinex Bietertool. Diese wurde nach einer eingehenden Analyse am 06.04. behoben. Mit dem nächsten Start des Bietertools erfolgt automatisch ein Update auf die neue Version.
Ein Ausnutzen der Schwachstelle ist uns nicht bekannt. Voraussetzung dafür wäre gewesen, dass eine entsprechend manipulierte .cbx Datei außerhalb des Vergabemarktplatzes (z.B. per E-Mail) empfangen und ausgeführt wurde, während das cosinex Bietertool auf dem Rechner installiert war.
Dies möchten wir zum Anlass nehmen darauf hinzuweisen, dass im Rahmen von Vergabeverfahren durch den Vergabemarktplatz selbst keine Dateien per E-Mail übermittelt werden. Der Austausch von Dateien im Rahmen von Vergabeverfahren erfolgt ausschließlich innerhalb der Vergabemarktplätze über die entsprechenden Projekträume. Für den Umgang mit verdächtigen E-Mails verweisen wir beispielhaft auf die Hinweise des Bundesamtes für Sicherheit in der Informationstechnik.