Viime torstaina julkaistusta kokelaan tikusta on löytynyt tietoturva-aukko, joka mahdollistaa kokeen suorittajalle komentojen suorittamisen pääkäyttäjän oikeuksin. Haavoittuvuuden korjaava kokelaan tikku ABITTI2118E on julkaistu tänään.
Tarkempi kuvaus tästä ja palvelintikuista löytyneestä haavoittuvuudesta julkaistaan torstaina 6.5.
Kiitokset tämän haavoittuvuuden löytämisestä Tuure Luostolle.
Tänään julkaistu Abitti-palvelinversio SERVER21174 sisältää tärkeän tietoturvakorjauksen. Lukioiden tulee välittömästi joko päivittää koetilan palvelimet tai irrottaa jatkuvasti käynnissä olevat koetilan palvelimet kokeen suorittamiseen käytettävästä tutkintoverkosta.
Korjaukseen johtanut vihje on tullut Ylioppilastutkintolautakunnan ulkopuolelta. Alan yleisen käytännön mukaisesti lautakunta on sitoutunut julkaisemaan kaikki tietoonsa tulleet haavoittuvuudet kolmen kuukauden sisällä niiden tultua tietoon. Normaalisti tiedot haavoittuvuudesta julkaistaan päivityksen yhteydessä. Tämän haavoittuvuuden kohdalla julkaisu tapahtuu vasta torstaina 6.5., jotta lukioille jää aikaa päivittää palvelimet.
Kiitämme jo tässä vaiheessa asiantuntevaa valkohattuhakkeritiimiä korjaukseen johtaneesta tiedosta ja ammattimaisesta yhteydenpidosta koko prosessin aikana.
Kokelaan Abitti-versio ABITTI2117T sisältää syksyn ylioppilaskokeissa käytössä olevat käynnistysvaihtoehdot:
Muihin käynnistysvaihtoehtoihin on lisätty kyseisten kernel-versioiden päivitykset.
Abitissa on runsaasti pieniä korjauksia ja parannuksia, jotka havaittiin kevään 2021 ylioppilaskokeissa. Tärkein parannuksista helpottaa erillisen tietokoneen liittämistä koeverkkoon, sillä erillisen tietokoneen verkkoasetuksiin ei tarvitse tehdä muutoksia.
Kiitoksia myös omasta toiveestaan tuntemattomaksi jäävälle avustajalle, joka korjasi äänitestin ääninäytteiden balanssit täydelliseksi.
Kaikki korjaukset ja päivitykset löytyvät muutoslokista.
Helmikuussa julkaistuja kokelastikkuja (ABITTI2106S) voi käyttää yhdessä uuden palvelimen kanssa. Vanhempien kokelastikkujen yhteensopivuutta ei ole testattu.
Kevään 2021 ylioppilaskoetta vastaava Abitti-versio on julkaistu. Jo edellinen ABITTI2053T sisälsi kevään kokeessa olevat ohjelmistoversiot, mutta nykyiseen versioon on tehty joukko korjauksia. Nyt julkaistava versio on yhteensopiva 3.11. (ABITTI20451 ja SERVER2045G) ja sen jälkeen julkaistujen versioiden kanssa.
Uusi versio ABITTI2106S korjaa pitkään koejärjestelmässä olleen hyväksikäyttömenetelmän, jonka avulla kokeen suorittaja on saanut käyttöönsä englannin kielen oikoluvun. Abitista on poistettu varsinaiset oikolukukirjastot ja sanastot, mutta Firefox-selaimesta löytyi oikolukutoiminto, jonka pystyi kytkemään päälle käyttöliittymästä. Toiminnon hyväksikäyttäminen vaati yksinkertaisia ohjelmointitaitoja, koska Abitin normaaleissa vastausikkunoissa oikoluku ei toiminut. Ylioppilastutkintolautakunta on yleisten tietoturvakäytäntöjen mukaisesti sitoutunut julkaisemaan kaikki sen tietoon tulleet tietoturvailmoitukset kolmen kuukauden sisällä. Kiitämme haavoittuvuuden löytänyttä henkilöä, joka ei halunnut nimeään julki.
Kokelaan koneen ohjelmistovalikkoon on lisätty symboliseen laskentaan käytettävän wxMaxima-ohjelman käynnistyskuvake, mutta PDF-ohjelmien lukuun käytettävän Okularin käynnistyskuvakkeen puuttumisen huomasimme liian myöhään. Onneksi ohjelma on helppo käynnistää avattaessa PDF-tiedostoja kokeen liitesivulta, työpöydältä tai Lataukset-kansiosta. Kevään ylioppilaskokeen valvojan ohjeeseen tullaan lisäämään ohjeistus tästä asiasta.
Koetilan palvelimeen on tehty monia pieniä korjauksia. Palvelimen verkkoyhteyden käynnistymistä on parannettu sekä palvelimen ja varapalvelimen synkronointiongelma on korjattu. Omien kokeilujemme mukaan myös tikkupalvelimen käynnistys siirtotikku sisällä toimii nyt.
Abitissa on siirrytty vähitellen noudattamaan uusia versiokoodeja, joka koostuu palvelimen (SERVER) tai kokelaan koneen (ABITTI) alkuosalla, jota seuraa julkaisuvuotta ja –viikkoa kuvaava numerosarja sekä viimeisenä muuttuva satunnainen merkki.
Versiokoodit näkyvät johdonmukaisesti julkaisusivullamme, käynnistystikuilla (liittämällä tikku esim. Windows 10 –tietokoneeseen), palvelimen ja kokelaan koneen työpöydällä sekä Naksussa. Vanha yhden numeron versiojärjestely oli tarkoitettu AbittiUSB-ohjelmaa varten ja se pakotti meidät julkaisemaan aina sekä palvelin- että kokelastikun. Tämä on johtanut joissain tilanteissa turhiin tikkujulkaisuihin ja tikkujen kirjoitusrumbiin.
Uusimpien jaossa olevien versioiden versiokoodit on luettavissa koneellisesti seuraavista osoitteista:
Abitti-kokeensa epähuomiossa poistaneen opettajan ei enää tarvitse ottaa yhteyttä Abitti-tukeen ongelman korjaamiseksi. Uudella toiminnolla opettaja voi palauttaa kokeen arvosteltavaksi, jotta koesuoritukset voi tuoda kokeeseen arvostelua varten. Myös yksittäisen koevastauspaketin poisto on mahdollista “peruuttaa”. Poistetut kokeet ja koesuoritukset pysyvät edelleen järjestelmässä vähintään kolme kuukautta, minkä jälkeen ne poistetaan lopullisesti.
Uusi Abitti-versio julkaistaan ensi viikon lopulla. Versio vastaa kevään ylioppilaskokeessa käytettävää versiota. Edelliseen julkaistun kokelastikun (ABITTI2053T) oheissovelluksiin ei ole tulossa muutoksia.
Lautakunta on ottanut käyttöön Telegram-viestisovelluksen. Ryhmä “YTL IT” on tarkoitettu keskinäiseksi yhteydenpitokanavaksi it-tukihenkilöille ja muille, jotka työskentelevät koejärjestelmän parissa. Ryhmässä on mukana myös Abitti-tukea. Ryhmään on mahdollista liittyä linkin https://t.me/joinchat/ffN077ONryYyODVk kautta. Ryhmä on kaksikielinen.
Videopuhelinyhteys osoittautui hyödylliseksi viime syksyn tutkinnossa ja sen perusteella lautakunta tulee suosittelemaan kevään tutkintoon jokaiseen koetilaan puhelinta, johon on asennettu Telegram-sovellus.
Uusi Abitti-versio on julkaistu. Tikulla on kevään 2021 ylioppilaskokeissa käytettävät sovellusversiot. Uutena toimintona on mahdollisuus suorittaa koe erillisellä tietokoneella. Tämä mahdollistaa erityisryhmille kokeen harjoittelun myös kurssikokeissa. Erillisen tietokoneen liittämistä tullaan käyttämään ylioppilaskokeissa:
Näkövammaisille opiskelijoille tehtävät harjoituskokeet ovat esteetömiä vain, jos ne on laadittu ylioppilaskokeen tapaan “uudella koeformaatilla”. Abitin editorilla laaditut kokeet ovat esteettömiä, jos ne on laadittu ilman erillisiä selainlisäosia ja ovat teknisesti yksinkertaisia sisältäen tekstimuotoisia kysymyksiä ja vastauksia. Tekniset ohjeet erillisen tietokoneen liittämiseen saa Abitti-tuelta ja lisätietoa “uuden koeformaatin” mukaisten kokeiden laatimisesta löytyy vanhasta blogikirjoituksesta.
Julkaistu versio on yhteensopiva kaikkien syksyllä 2020 julkaistujen Debian Busteriin perustuvien versioiden kanssa.
Muut muutokset:
Päivitykset:
Virtuaalisen koetilan palvelimen hallintaa helpottava Naksu päivittyy versioon 2.0.0. Suurin muutos on se, että uusi Naksu ei enää tarvitse HashiCorp Vagrant –ohjelmaa toimiakseen.
Naksu päivittyy automaattisesti käynnistyksen yhteydessä, jos tietokone on liitetty internetiin.
Uusi Naksu asentaa virtuaalikoneen suoraan VirtualBoxiin ja vanha Vagrantin avulla tehty virtuaalikone jää taustalle. Mikäli vanhalla palvelimella ei ole siirtämättömiä koesuorituksia, voi palvelimen poistaa ennen uuden asentamista painamalla Naksun “Poista palvelin” –painiketta.
Uusi Naksu asentaa Abitti-palvelimen tuttuun tapaan hallintaominaisuuksista löytyvän “Asenna tai päivitä palvelin” –toiminnon avulla.
Uutta Naksu-versiota käytetään kevään ylioppilaskokeissa. Levynkuvan lataukseen riittää aikanaan tutkintopalvelusta saatava asennuskoodi, eli Vagrantfile-tiedoston siirtelystä päästään eroon.
Naksu 2 ei vaadi koneelle mitään ohjelmistomuutoksia. HashiCorp Vagrantin voi poistaa, mutta se ei ole välttämätöntä.
Kiitokset kaikille, jotka osallistuivat Naksu 2:n testaamiseen antamalla palautetta!
Seuraava Abitti-tikkuversio julkaistaan vuodenvaihteessa. Tarkempi päivämäärä ilmoitetaan myöhemmin. Tässä päivittyvä tieto seuraavaan versioon tulevista muutoksista:
Kevään 2021 ylioppilaskokeessa käytettävä versio perustuu vuodenvaihteessa julkaistavaan versioon.
Oheisohjelmavalikoimaan ei ole tulossa muutoksia. LoggerPro-ohjelmasta on tullut päivitetty versio, mutta sen ehtiminen vuodenvaihteen Abitti-julkaisuun ja siten myös kevään 2021 yo-tikuille on vielä epävarmaa.
Uusi aiemmassa Abitti-versiossa tunnettuja virheitä korjaava päivitys on julkaistu.
Uutta versiota voi käyttää ristiin aiemmin julkaistun Abitti-version kanssa, mikäli tunnetut virheet eivät haittaa käyttöä.
Kevään 2021 ylioppilastutkinnon tikut perustuvat lokakuussa julkaistuun Debian Busteria hyödyntävään Abitti-versioon. Seuraava suunniteltu Abitti-julkaisu on tammikuun loppupuolella.
Tähän mennessä uudessa Abitti-versiossa on havaittu joitakin ongelmia, jotka on kerätty tähän tiedotteeseen. Päivitämme tiedotetta sitä mukaa, kun saamme lisää tietoa uusista ongelmista ratkaisuineen.
Joillakin virtuaalisilla koetilan palvelimilla on ollut ongelmia käynnistää uusi tikkuversio. Tiedossamme olevat ongelmat ovat nimenomaan Linux-isäntäkoneilla ja se ratkeaa päivittämällä VirtualBox uusimpaan Oraclen jakelemaan versioon (tällä hetkellä 6.1.16). Oman version saa näkyviin komentoriviltä:
$ VBoxManage --version
6.1.16r140961
Ohjeet Oraclen jakeleman VirtualBoxin käyttöön löytyvät VirtualBoxin sivulta. Tässä esimerkkiasennus Ubuntulla.
1. Aloita poistamalla Ubuntun paketeista asennettu VirtualBox
sudo apt purge virtualbox virtualbox-dkms
sudo apt autoremove
2. Ota käyttöön Oraclen pakettivarasto
Lisää sen jälkeen Oraclen pakettivarasto. Merkkijonon <mydist> paikalle korvaat oman Ubuntu-versiosi koodinimen, esim. 20.04 on “focal”, 18.04 “bionic” jne.
sudo echo "deb [arch=amd64] https://download.virtualbox.org/virtualbox/debian <mydist> contrib" | sudo tee -a /etc/apt/sources.list.d/oracle.list
Eli Ubuntu 20.04:n tapauksessa:
sudo echo "deb [arch=amd64] https://download.virtualbox.org/virtualbox/debian focal contrib" | sudo tee -a /etc/apt/sources.list.d/oracle.list
Lisää vielä pakettivaraston avain:
wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | sudo apt-key add -
3. Päivitä pakettien tiedot
sudo apt update
4. Asenna VirtualBox
sudo apt install virtualbox-6.1
Tämän jälkeen koneelle päivittyy uusin VirtualBoxin 6.1 -versio suoraan Oraclelta. Tarkista VirtualBoxin versio yllä neuvotulla tavalla.
Tämä vain virtuaalisia koetilan palvelimia koskeva ongelma aiheuttaa myös sen, että kokelaat eivät näe koetilan palvelinta. Ilmiö johtuu siitä, että jostain syystä Vagrant tai VirtualBox ovat asettaneet virtuaalikoneelle saman Ethernet-osoitteen. Kun verkossa on kaksi samaa Ethernet-osoitetta, ei liikenne suju.
Ongelman korjaaminen väliaikaisesti tapahtuu tekemällä seuraava toimenpide joko koetilan palvelimella tai varapalvelimella. Pysyvä korjaus tehdään seuraavan Abitti-julkaisun yhteydessä.
GeoGebra 6:n käyttöliittymän kieli on englanti. Abitin käyttöliittymän kielen (suomi tai ruotsi) mukaiset valinnat näkyvät heti ohjelman ensimmäisen käynnistymisen yhteydessä, mutta ne korvataan välittömästi englanninkielisillä vastineilla. Asiasta on tehty vikaraportti GeoGebralle.
Kielen voi vaihtaa käsin GeoGebrassa: Menu > Settings > Language.
Koneen käynnistys keskeytyy ennen graafisen käyttöliittymän käynnistymistä. Näytöllä näkyy levyosioiden (partition) luomiseen liittyviä kysymyksiä (Fix, Ignore yms.). Ilmiötä on havaittu sekä palvelin- että opiskelijatikuilla.
Ongelma on korjattu Buster-testitikulla, joka ei kuitenkaan ole SecureBoot-allekirjoitettu. Testiversiolla voi järjestää kurssikokeita.
Tämä ilmoitus näkyy koetilan palvelimessa heti käynnistyksen jälkeen, vaikka koetta ei olisi vielä yritettykään ladata. Ongelmaa on havaittu myös aiemmilla tikkuversioilla.
Ilmoituksen voi ohittaa klikkaamalla palvelimen selaimesta reload/refresh-nappia.
Gnome-laskimen käynnistyskuvaketta ei löydy sovellusvalikosta.
Seuraamme vielä pari päivää meille lähetettyjä vikaraportteja ja päätämme korjausversion aikataulusta sen jälkeen. Aikaisintaan korjauksia on luvassa viikon 47 lopussa.
Uudesta Abitti-versiosta löytyi heti korjattavaa. Käynnistysvalikkoon ilmestyi toinenkin Gallium-valinta. Ylempi Gallium-vaihtoehto käynnistää Abitin uudella 5.8-kernelillä, kun alempi vaihtoehto käynnistää tikulla jo pitkään olleen 4.9-version.
Korjattu versio on jaossa ja sen versionumero on ABITTI20459. Korjattua versiota voi käyttää rinnan tiistaina julkaistun version kanssa.