Viime viikolla julkaistu Abitti-versiota on otettu nopeasti käyttöön. Päättyvän viikon kokeista jo 18% on tehty uudella versiolla. Tammikuun palvelinversiota on käytetty 79% kokeista.
Nopean käyttöönoton ansiosta uuden version ongelmat on havaittu ja korjattu ripeästi.
Tällä hetkellä tiedetään, että tammikuun palvelintikun (SERVER23523) ja vapun kokelastikun (ABITTI2417D) yhdistelmässä kokelaiden kaavaeditorit eivät toimi. Ratkaisuna on päivittää palvelinversio uusimpaan.
Seuraava Abitti-versio julkaistaan vappuviikolla. Uudessa versiossa on pieniä korjauksia valvojan näkymään ja kirjautumissivuun. Tikulle on päivitetty uudet laiteajurit ja erityisesti palvelimen käynnistysvaihtoehtoja on päivitetty uudempiin. Mukana on myös Otavan MAOL-digitaulukoiden uusin versio.
Tikkupäivityksen yhteydessä päivitetään oma.abitissa kokeen yhteyteen liitettävä koeohjelmisto (exam-engine). Päivityksen jälkeen oma.abitista ladatut kokeet eivät toimi elokuussa tai sitä aiemmin julkaistuilla Abitti-versioilla. Elokuussa julkaistun Abitti-version versiokoodit olivat ABITTI2332G ja SERVER2332I.
Vanhentuneilla tikuilla on viimeisen neljän viikon aikana järjestetty noin 10% Abitti-kokeista.
Tarkempi julkaisupäivä ilmoitetaan lähempänä julkaisua.
Abitin suosion kasvu ei ota laantuakseen. Kuluvalla viikolla käyttö on ollut jälleen kerran ennätyksellisen innokasta, jonka vuoksi oma.abitti-verkkopalvelun suorituskykyä joudutaan kasvattamaan palvelun pitämiseksi toiminnassa.
Ikävä kyllä muutostyöstä aiheutuu käyttökatko, joka alkaa tänään klo 14.00. Ennakoimme katkon päättyvän viimeistään klo 16.
Katkon aikana oma.abitti -verkkopalvelu ei ole käytettävissä. Tämä koskee koetiedostojen ja koesuoritusten latausta sekä kokeiden arvostelua.
Pahoittelemme Abitti-käyttäjille äkillisestä katkosta aiheutuvaa harmia!
Päivitys 4.4.2024 klo 14.30: Käyttökatko on ohitse
Uusimassa Abitti-versiossa (ABITTI2352B ja SERVER23523) osa kokelaista saa koetta päättäessään hämmentävän virheilmoituksen “A-osaa ei pystytty palauttamaan yhteysongelman takia”.
Virheilmoitus tulee kokelaille satunnaisesti. Se ei siis riipu mitenkään suoritettavasta kokeesta.
Virheilmoitus on sikäli harmiton, että todellisuudessa kokeen päättäminen on onnistunut ja koesuoritukset ovat turvassa.
Vika korjataan kevään ylioppilaskokeissa käytettävään Abitti-versioon. Uutta Abitti-versiota emme tämän virheen vuoksi tule julkaisemaan.
Päivitys klo 11.54:
Ongelma on ratkaistu ja oma.abitti.fi toimii taas.
—
Oma.abitti.fi-palvelussa on toimintahäiriö, eikä palvelussa näy tällä hetkellä koetehtäviä tai niiden vastauksia. Ongelmaa selvitetään ja se korjataan mahdollisimman pian.
Lautakunta pahoittelee häiriötä.
Kesäkuussa Abitissa tehdään seuraavia palvelun käyttöön vaikuttavia muutoksia.
Vanha MEB-koeformaatilla tehtävien kokeiden laatimiseen käytettävä koe-editori poistetaan torstaina 8.6. Tämän jälkeen Abitti-kokeita voi tehdä vain Bertta-editorilla tai tuomalla kokeita Tuo kokeet –painikkeella. Myös vanhalla koeformaatilla tehtyjen kokeiden esikatselu päättyy.
Vanhalla koeformaatilla tehdyt kokeet säilyvät edelleen Abitissa. Vanhalla koeformaatilla tehtyjä kokeita voi vielä tuoda Tuo koe –painikkeella ja yksittäisiä koetehtäviä voi kopioida uusiin kokeisiin Bertta-editorissa olevalla tehtävän kopiointitoiminnolla.
Tästä muutoksesta ilmoitimme 1.9.2022. Vielä ei ole päätetty, missä vaiheessa poistetaan mahdollisuus tuoda Abittiin uusia MEB-kokeita Tuo koe –napin avulla tai sitä, milloin Abitista poistetaan kaikki MEB-muotoiset kokeet.
Abitissa tehdään ylläpitotöitä tiistaina 20.6. Tämä aiheuttaa palveluun useamman tunnin käyttökatkon, joka alkaa aamuyhdeksän jälkeen. Kokeita voi toki järjestää katkon aikana, mutta koetehtävät on ladattava edellisenä päivänä. Arvostelemaan pääsee todennäköisesti jo tiistai-iltapäivän aikana.
Abitti-tuki toivottaa kaikille lomalaisille oikein hyvää opetuksetonta aikaa tai lomaa!
Abitin huoltokatko venyy suunniteltua pidemmälle. Tehtävänlaadintaan ja kokeiden arvosteluun käytettävä verkkopalvelu oma.abitti.fi on poissa käytöstä mahdollisesti vielä huomenna, 29.12.2022.
Pahoittelemme pitkäksi venähtänyttä katkoa!
Abitissa tehdään huoltotöitä keskiviikkona 28.12.2022. Tehtävänlaadintaan ja kokeiden arvosteluun käytettävä verkkopalvelu oma.abitti.fi on poissa käytöstä mahdollisesti koko työpäivän ajan.
Ennen katkon alkua ladatut kokeet voi järjestää, mutta koesuoritukset voi palauttaa arvosteluun vasta katkon päätyttyä.
Seuraava Abitti-versio julkaistaan tammikuun alussa. Tämä versio vastaa kevään 2023 ylioppilaskokeissa käytettävää Abittia.
Abitti-tuki toivottaa kaikille hyvää joulua ja onnellista uutta vuotta!
Lokakuun lopussa julkaistu Abitti-versio korjasi vakavia tietoturva-aukkoja.
Vakavin tietoturva-aukoista oli koetilan palvelimella. Haavoittuvuus mahdollisti koetilan palvelimella olevien tietojen (esim. kokelaan henkilötiedot, koesuoritukset ja kokelaiden tallentamien tiedostojen varmuuskopiot) muokkaamisen ja lataamisen.
Toinen korjattu haavoittuvuus oli nippu keskenään samankaltaisia tapoja, jotka mahdollistivat pääkäyttäjän oikeuksien saamisen kokelaan omaan tietokoneeseen. Lisäksi kokelaan koneen käyttöoikeussopimuksen versionumero oli virheellinen.
Tietoturva-aukot ovat olleet kaikissa tähän mennessä järjestetyissä ylioppilaskokeissa. Ylioppilastutkintolautakunnalla ei ole tietoa, onko haavoittuvuuksia käytetty hyväksi ylioppilastutkinnossa.
Ylioppilastutkintolautakunta suosittelee Abitti-järjestelmällä harjoituskokeita järjestäviä päivittämään välittömästi turvallisiin versioihin:
Tietoturva-aukot löydettiin LähiTapiolan valkohattuhakkereille 15.10.2022 järjestämässä HackDay-kilpailussa. Ylioppilastutkintolautakunta on käsitellyt löydökset normaalin politiikkansa mukaisesti siten, että ne julkistetaan kolmen kuukauden kuluessa ilmoituksesta. Hakkerointitapahtuman luottamuksellisesta luonteesta johtuen Ylioppilastutkintolautakunnalla ei ole tiedossaan haavoittuvuuksia löytäneiden tiimien ja tiimin jäsenten nimiä.
Ylioppilastutkintolautakunta kiittää LähiTapiolaa ja kaikkia haavoittuvuuksista raportoineita.
HackDay-tapahtumassa tehtiin muitakin Abittia koskevia tietoturvahavaintoja, joista raportoidaan myöhemmin.
Alla tiiviit kuvaukset nyt korjatuista haavoittuvuuksista.
Vakavin haavoittuvuus mahdollistaa koetilan palvelimella olevien tiedostojen lisäämisen, muuttamisen sekä lataamisen. Hyökkäys on tehtävä paikalliseen koeverkkoon liitetyltä tietokoneelta, esimerkiksi kokelaan omalta tietokoneelta. Hyväksikäyttö edellyttää kirjautumista koetilan palvelimelle.
Hyökkäys perustuu kokelaan kokeen aikana luomien tiedostojen varmuuskopioinnissa käytetyn rajapinnan syötteiden puutteelliseen sanitointiin.
Haavoittuvuusluokitus: CVSS: 8.8 (korkea)
Haavoittuvuus mahdollista mielivaltaisten komentojen suorittamisen kokelaan omalla tietokoneella pääkäyttäjän oikeuksin. Hyökkäys perustuu Abitti-koejärjestelmän mekanismiin, jolla koetiedostojen yhteydessä voidaan päivittää kokelaan koneella olevia tiedostoja. Päivitysmekanismi purkaa tiedostot kokelaan koneen väliaikaishakemistoon ennen asentamista. Oikein ajoitettu hyökkäys korvaa tiedostot hyökkääjän tiedostoilla, jotka asennetaan koeympäristöön pääkäyttäjän oikeuksin.
Hyökkäys on mahdollista vain sellaisissa kokeissa, jotka sisältävät kokelaan konetta päivittävän paketin. Havainnon vakavuutta ylioppilaskokeissa vähentää kokelaan koneen tekninen valvonta.
Haavoittuvuusluokitus: CVSS-pisteet: 2.0 (matala)
Kokeeseen osallistujan kirjautumisen yhteydessä on näytetty väärä käyttöoikeussopimuksen versionumero 1.3, kun oikea versionumero olisi ollut 1.4.
Varsinainen luettavissa oleva käyttöoikeussopimuksen versionumero on ollut oikein (1.4) ja varsinainen sopimusteksti on vastannut Abitti.fi-verkkosivuilla olevaa versiota (1.4).
Haavoittuvuusluokitus: GDPR-loukkaus
Vanhalla koe-editorilla laadittujen MEB-kokeiden latausmahdollisuus päättyy tänään 10.10.2022.
Vanha koeformaatti on ollut käytössä vuodesta 2015, mutta viimeiset ylioppilaskokeet sillä tehtiin syksyllä 2019.
Uuden MEX-koeformaatin editori Bertta on ollut käytössä Abitissa alkuvuodesta 2022 alkaen. Syyslukukaudella valtaosa Abitti-kokeista on tehty MEX-formaatilla.
Abitti-kokeissa käytetyt koeformaatit vuonna 2022. Keltainen = MEB-formaatin kokeita, sininen = automaattisesti MEB-formaatista MEX-formaatiksi muunnettuja kokeita, punainen = MEX-formaatin kokeita.
Lisätietoja: