Version 3.56
-
Wir haben uns das gerade angeschaut und können bei uns kein Problem feststellt. Die Berechtigungen haben sich hier aus unserer Sicht nicht verändert. Das habe ich fälschlicherweise angenommen.
Deshalb schickt uns doch bitte eine Mail an support@churchtools.de mit einer genauen Fehlerbeschreibung. Auch mit konkreten Fällen wo das Problem auftritt. Dann können wir uns das bei euch konkret anschauen.Am besten schreibt ihr in die Mail gleich rein, dass wir DB-Zugriff bekommen um das gleich lösen zu können.
-
@hbuerger ihr habt nicht zufällig ein Beta-Programm für das man sich anmelden kann oder?
-
@w_leader_02 @tofisch @koehdaniel
Wir haben das Problem mit den fehlenden Eventsichtbarkeiten untersucht. Kurzfristig lässt sich das Problem lösen, wenn ihr den Personen, die die Events sehen sollen, das globale Recht "Events von einzelnen Kalendern sehen (view events)" im Events-Modul gebt. Das globale Recht kann z.B. einfach auf einem Status oder über Gruppen gesetzt werden:
Hier müssen die Kalender aktiviert werden, für die Events für die betreffenden Personen sichtbar sein sollen.
Wir arbeiten noch an einer automatischen Lösung, aber kurzfristig lässt sich auf diese Weise erreichen, dass Mitarbeiter die fehlenden Events wieder sehen können.Hinter dem Problem liegt folgende Ursache:
Mit der neuen Version 3.56 wurde ein neues globales Recht im Events-Modul eingeführt: "Events von einzelnen Kalendern sehen (view events)"
Vor Version 3.56 waren Events immer sichtbar, wenn man das Events-Modul generell sehen kann und den dazugehörigen Kalender sehen kann (wenn man "Einzelnen Kalender sehen (view category)" im Kalender-Modul hat).Das wurde mit Version 3.56 geändert. Jetzt braucht man explizit das Recht "Events von einzelnen Kalendern sehen (view events)". Auf diese Weise kann man die Berechtigungen genauer einstellen.
Damit bisher sichtbare Events weiterhin sichtbar bleiben, wurde mit dem Update automatisch das Recht "Einzelnen Kalender sehen (view category)" auf "Events von einzelnen Kalendern sehen (view events)" kopiert. Die Berechtigungen des öffentlichen Nutzers wurden dabei aber bewusst nicht kopiert. In eurem Fall konnten Mitarbeiter bisher einige Kalender sehen, u.a. den Gottesdienstkalender, weil der öffentliche Nutzer diese Kalender sehen darf. Da die Mitarbeiter bei euch über zusätzliche Rechte das Events-Modul generell sehen dürfen, konnten sie bisher auch alle dem Kalender zugehörigen Events sehen. Diese Berechtigung fehlt jetzt, da die Berechtigungen des öffentlichen Nutzers nicht kopiert wurden.
Wir besprechen noch, wie wir solche Fälle generell lösen. Kurzfristig hilft es "Events von einzelnen Kalendern sehen (view events)" manuell zu setzen.
-
@jpawellek Hallo, bei uns habe ich das wie beschrieben eingestellt. Durch das Recht, alle Events zu sehen, haben die Leiter aber jetzt auch Events in den Ablaufplänen sichtbar, bei denen ihre Gruppen gar nicht beteiligt sind. Wäre nett, wenn ihr euch das noch mal vornehmen würdet. Danke und viele Grüße
Torsten Fischer -
@tofisch Das war dann aber bei euch auch schon davor so. Hast du die die Erklärung von @jpawellek durchgelesen?
Die Berechtigung die wir vergessen haben zu transferieren sind die des globalen Users. Der hatte dann die Berechtigung den Kalender zu sehen und somit jeder. Wenn du diese Berechtigung jetzt einer Person explizit gibst dann sieht er das gleiche wie vor dem Update und nicht mehr.
-
@Denis-Gelb sagte in Version 3.56:
@hbuerger ihr habt nicht zufällig ein Beta-Programm für das man sich anmelden kann oder?
doch das haben wir
-
@Denis-Gelb Wenn du daran teilnehmen willst schreib mir mal ne private Nachricht hier im Chat
-
@hbuerger was für ein Quatsch, ich zitiere aus eurem ChangeLog:
Um die Angriffsfläche für CSRF zu verringern sind API-Zugriffe nur noch mit POST möglich. Bisher wurde aus ChurchTools nur mit POST auf die Api zugegriffen und alle Beispiele haben auch POST Anfragen genutzt es wure allerdings nicht von der Anwendung sichergestellt. Diese Änderungen gelten für die aktuelle API. Für die neue REST-API wird es eine Unterscheidung zwischen GET/PUT/POST/DELETE und PATCH geben.
Ich halte zwar das Statement im ChangeLog für technisch nicht ganz richtig, aber zeigt trotzdem (von euch veröffentlicht), dass euch die Lücke seit ~ 2 Jahren bekannt ist.
-
@Marcel Wie kommst du darauf, dass uns die Sicherheitslücke seit 2 Jahren bekannt ist? Das war sie nämlich nicht.
-
@jpawellek Hallo zusammen,
leider löst das nicht mein Problem. Ich habe über mehrere Wege (Status, Gruppenzugehörigkeit) die Rechte so vergeben, dass die Mitarbeiter / Leiter die Events sehen können und sich auch entsprechend eintragen können. Aber wenn ich die Personen simuliere, können sie bei "Events" KEINEN Eintrag sehen.
Was mir aufgefallen ist: Personen, die bereits für einen DIenst eingetragen sind, können alle Events sehen. Darunter sogar ein Nichtmitglied der den STatus "Freund" hat (Wesentlich weniger Rechte als die Ältesten!)
Nein, Filter sind keine gesetzt
Kann mir da jemand weiterhelfen?Grüße, Markus
-
@Markus-Jung schau dir doch mal die Berechtigung der Gruppentypen an.
