Tänään julkaistava versio on viimeinen ennen kevään ylioppilaskokeita julkaistava Abitti. Se sisältää vain yhden kokelaalle näkyvän muutoksen: PDF-muotoisen kokeen liitetiedoston avaamisen yhteydessä liite on helppo avata myös muilla ohjelmilla kuin selaimella (esim. Okularilla).
Julkaistavassa Abitissa on korjattu kolme tietoturvahaavoittuvuutta, joista vakavin mahdollisti kokeeseen kirjautumisen väärällä henkilötunnuksella.
Uusi versio on yhteensopiva vuoden 2022 viikolla 43 ja sen jälkeen julkaistujen Abitti-versioiden kanssa:
- ABITTI 2243K, 2244B, 22451
- SERVER 22436, 2244T
Haavoittuvuudet löytyivät hakkeritapahtumassa
Tietoturva-aukot löydettiin LähiTapiolan valkohattuhakkereille 15.10.2022 järjestämässä HackDay-kilpailussa. Ylioppilastutkintolautakunta on käsitellyt löydökset normaalin politiikkansa mukaisesti siten, että ne julkistetaan kolmen kuukauden kuluessa ilmoituksesta. Hakkerointitapahtuman luottamuksellisesta luonteesta johtuen Ylioppilastutkintolautakunnalla ei ole tiedossaan kaikkien haavoittuvuuksia löytäneiden tiimien ja tiimin jäsenten nimiä.
Ylioppilastutkintolautakunta kiittää LähiTapiolaa ja kaikkia haavoittuvuuksista raportoineita.
Alla tiiviit kuvaukset nyt korjatuista haavoittuvuuksista.
1. Kirjautuminen kokeeseen väärällä henkilötunnuksella oli mahdollista
Abittiin kirjautumisessa käytetään kokelaan henkilötunnusta, jonka valvoja tarkistaa ja antaa kokelaalle kirjautumisnäkymään syötettävän vahvistuskoodin. Hyökkäyksessä kirjaudutaan koejärjestelmään syöttämällä henkilötunnus- ja vahvistuskoodikombinaatioita koneellisesti, kunnes oikea yhdistelmä löytyy (brute force). Näin päästään suorittamaan koetta väärällä identiteetillä.
Haavoittuvuusluokitus: CVSS-pisteet 8,3 (korkea)
2. Valvojan koneen ja koetilan palvelimen välinen istuntotunniste oli kovakoodattu
Kokeen järjestäjä voi käynnistää koeverkkoon kokeen valvojille tietokoneita, joista he voivat seurata koejärjestelmän tuottamaa tilannekuvaa. Valvojan koneen ja koetilan palvelimen välisessä viestinnässä on käytetty kovakoodattua istuntotunnistetta. Tunniste ei sellaisenaan avaa pääsyä koetilan palvelimelle, koska valvojan koneet auktorisoidaan palvelimen arpomalla salasanalla.
Haavoittuvuusluokitus: CVSS-pisteet 5,0 (keskitaso)
3. Kokelas pystyi tallentamaan kuuntelukerroiltaan rajoitetun äänitteen
Haavoittuvuudessa vilpillinen kokelas hyödyntää Abitissa käytettyä PulseAudio-ääniohjelmiston monitor-äänilähtöä. Hyödyntämällä Abitissa olevia ohjelmistoja kokelas tallentaa monitor-lähdöstä tulevan signaalin tiedostoon. Tämän jälkeen äänite on kokelaan vapaasti kuunneltavissa.
Haavoittuvuusluokitus: CVSS-pisteet 3,3 (matala)
Kiitämme Testausserverin tiimiä: Ruben Mkrtumyan, Mikael Hannolainen, Santtu Sievänen, Veeti Ojanperä ja Taavi Väänänen