Version 3.56

cregar

Wir haben seit dem Update leider das Problem, dass keinerlei Profilbilder mehr angezeigt werden. Steure ich direkt ein Bild an, so wird die Meldung "Image[353] not readable to determine size." ausgegeben. Ist das Problem bekannt und haben das noch andere?

feg-lb

@cregar wir haben das gleiche Problem. Rückmeldung vom Support:
"ich vermute Sie sind Selfhoster? Dann könnte es sein, dass Ihnen das PHP Modul GD fehlt. Genau kann man das aber nur sagen wenn man in das Apache error log schaut."

tofisch

@w_leader_02 sagte in Version 3.56:

Mega das neue Update.

Leider gibt es bei uns Probleme mit den Events und Sichtbarkeiten, teilw. können Leiter die Einträge der Events nicht mehr sehen, Admins und andere Leiter können. (Problem ist per Formular und Screenshot an euch weitergereicht)

Auch bei uns sind für die Leiter nur noch die Einträge der Events sichtbar, in denen sie selber einen Dienst haben. Wird das behoben?

Andy

@tofisch hm... kann ich nicht bestätigen. Ein Filter ist aber nicht gesetzt, oder?

cregar

@hja sagte in Version 3.56:

"ich vermute Sie sind Selfhoster? Dann könnte es sein, dass Ihnen das PHP Modul GD fehlt. Genau kann man das aber nur sagen wenn man in das Apache error log schaut."

Ok, danke. Dann muss ich das nochmal klären lassen mit unserem Provider.

koehdaniel

@tofisch Wir haben ebenso das Problem und lassen von CT hosten - ist es sinnvoll dass ich mich direkt an den Support wende oder haben das schon genügend Leute getan?

Durch diesen Bug kann sich aktuell niemand mehr für einen Dienst eintragen.

Gruß Daniel

davidschilling

@koehdaniel
Ja meldet euch bitte beim Support

davidschilling

Wir haben die Event-Berechtigungen angepasst. Früher war es so, dass man Events sehen konnte über die Berechtigung die man im Kalender auf einzelnen Kalender hatte.

Jetzt gibt es die Möglichkeit diese Berechtigung direkt in Events einzustellen mit den Berechtigungen:

• Events von einzelnen Kalendern sehen (view events)
• Events erstellen, bearbeiten, löschen (edit events)

So können die Berechtigungen getrennt von den Kalenderberechtigungen eingeteilt werden und auch das Bearbeiten ist jetzt losgelöst vom sehen.

In diesem Zuge ist die Berechtigung für den Event-Admin herausgenommen worden.

Wir werden uns nochmal intern Gedanken dazu machen wie wir das jetzt machen und euch dann nochmal Bescheid geben.

davidschilling

@tofisch @koehdaniel

Wir haben uns das gerade angeschaut und können bei uns kein Problem feststellt. Die Berechtigungen haben sich hier aus unserer Sicht nicht verändert. Das habe ich fälschlicherweise angenommen.
Deshalb schickt uns doch bitte eine Mail an support@churchtools.de mit einer genauen Fehlerbeschreibung. Auch mit konkreten Fällen wo das Problem auftritt. Dann können wir uns das bei euch konkret anschauen.

Am besten schreibt ihr in die Mail gleich rein, dass wir DB-Zugriff bekommen um das gleich lösen zu können.

Denis Gelb

@hbuerger ihr habt nicht zufällig ein Beta-Programm für das man sich anmelden kann oder?

jpawellek

@w_leader_02 @tofisch @koehdaniel

Wir haben das Problem mit den fehlenden Eventsichtbarkeiten untersucht. Kurzfristig lässt sich das Problem lösen, wenn ihr den Personen, die die Events sehen sollen, das globale Recht "Events von einzelnen Kalendern sehen (view events)" im Events-Modul gebt. Das globale Recht kann z.B. einfach auf einem Status oder über Gruppen gesetzt werden:

Hier müssen die Kalender aktiviert werden, für die Events für die betreffenden Personen sichtbar sein sollen.
Wir arbeiten noch an einer automatischen Lösung, aber kurzfristig lässt sich auf diese Weise erreichen, dass Mitarbeiter die fehlenden Events wieder sehen können.

Hinter dem Problem liegt folgende Ursache:
Mit der neuen Version 3.56 wurde ein neues globales Recht im Events-Modul eingeführt: "Events von einzelnen Kalendern sehen (view events)"
Vor Version 3.56 waren Events immer sichtbar, wenn man das Events-Modul generell sehen kann und den dazugehörigen Kalender sehen kann (wenn man "Einzelnen Kalender sehen (view category)" im Kalender-Modul hat).

Das wurde mit Version 3.56 geändert. Jetzt braucht man explizit das Recht "Events von einzelnen Kalendern sehen (view events)". Auf diese Weise kann man die Berechtigungen genauer einstellen.

Damit bisher sichtbare Events weiterhin sichtbar bleiben, wurde mit dem Update automatisch das Recht "Einzelnen Kalender sehen (view category)" auf "Events von einzelnen Kalendern sehen (view events)" kopiert. Die Berechtigungen des öffentlichen Nutzers wurden dabei aber bewusst nicht kopiert. In eurem Fall konnten Mitarbeiter bisher einige Kalender sehen, u.a. den Gottesdienstkalender, weil der öffentliche Nutzer diese Kalender sehen darf. Da die Mitarbeiter bei euch über zusätzliche Rechte das Events-Modul generell sehen dürfen, konnten sie bisher auch alle dem Kalender zugehörigen Events sehen. Diese Berechtigung fehlt jetzt, da die Berechtigungen des öffentlichen Nutzers nicht kopiert wurden.

Wir besprechen noch, wie wir solche Fälle generell lösen. Kurzfristig hilft es "Events von einzelnen Kalendern sehen (view events)" manuell zu setzen.

tofisch

@jpawellek Hallo, bei uns habe ich das wie beschrieben eingestellt. Durch das Recht, alle Events zu sehen, haben die Leiter aber jetzt auch Events in den Ablaufplänen sichtbar, bei denen ihre Gruppen gar nicht beteiligt sind. Wäre nett, wenn ihr euch das noch mal vornehmen würdet. Danke und viele Grüße
Torsten Fischer

davidschilling

@tofisch Das war dann aber bei euch auch schon davor so. Hast du die die Erklärung von @jpawellek durchgelesen?

Die Berechtigung die wir vergessen haben zu transferieren sind die des globalen Users. Der hatte dann die Berechtigung den Kalender zu sehen und somit jeder. Wenn du diese Berechtigung jetzt einer Person explizit gibst dann sieht er das gleiche wie vor dem Update und nicht mehr.

jziegeler

@Denis-Gelb sagte in Version 3.56:

@hbuerger ihr habt nicht zufällig ein Beta-Programm für das man sich anmelden kann oder?

doch das haben wir

davidschilling

@Denis-Gelb Wenn du daran teilnehmen willst schreib mir mal ne private Nachricht hier im Chat

Marcel

@hbuerger was für ein Quatsch, ich zitiere aus eurem ChangeLog:

Um die Angriffsfläche für CSRF zu verringern sind API-Zugriffe nur noch mit POST möglich. Bisher wurde aus ChurchTools nur mit POST auf die Api zugegriffen und alle Beispiele haben auch POST Anfragen genutzt es wure allerdings nicht von der Anwendung sichergestellt. Diese Änderungen gelten für die aktuelle API. Für die neue REST-API wird es eine Unterscheidung zwischen GET/PUT/POST/DELETE und PATCH geben.

Ich halte zwar das Statement im ChangeLog für technisch nicht ganz richtig, aber zeigt trotzdem (von euch veröffentlicht), dass euch die Lücke seit ~ 2 Jahren bekannt ist.

hbuerger

@Marcel Wie kommst du darauf, dass uns die Sicherheitslücke seit 2 Jahren bekannt ist? Das war sie nämlich nicht.

Markus Jung

@jpawellek Hallo zusammen,

leider löst das nicht mein Problem. Ich habe über mehrere Wege (Status, Gruppenzugehörigkeit) die Rechte so vergeben, dass die Mitarbeiter / Leiter die Events sehen können und sich auch entsprechend eintragen können. Aber wenn ich die Personen simuliere, können sie bei "Events" KEINEN Eintrag sehen.

Was mir aufgefallen ist: Personen, die bereits für einen DIenst eingetragen sind, können alle Events sehen. Darunter sogar ein Nichtmitglied der den STatus "Freund" hat (Wesentlich weniger Rechte als die Ältesten!)

Nein, Filter sind keine gesetzt
Kann mir da jemand weiterhelfen?

Grüße, Markus

Andy

@Markus-Jung schau dir doch mal die Berechtigung der Gruppentypen an.