全国人大常委会9月13日批准《国务院关于渐进式延迟法定退休年龄的办法》。
自2025年起至2039年底，逐步延迟法定退休年龄：男职工的从原60周岁延迟至63周岁，女职工、女干部从50周岁、55周岁分别延迟至55周岁、58周岁。如单位同意，也可选择再延迟退休，至多再延迟三年。
自2030年起至2039年，逐步提高社保最低缴费年限，从15年可领退休金逐步提高至20年。达到最低年限者，可提前退休，但至多提前三年。
（新华社）

刷境外银行卡即可乘坐地铁，北京轨道交通外卡拍卡过闸上线发布 - IT之家
https://www.ithome.com/0/795/657.htm

35 岁员工猝死，美国两家银行巨头将限制员工每周工作不超 80 小时
======
美国人还是缺少福报拷打
https://www.ithome.com/0/795/847.htm

还在go！还在go！
https://mp.weixin.qq.com/s/JWjBIY1cCT2w-uyo_o2B1A

中国8月城镇调查失业率5.3%，环比升0.1百分点。企业周均工作48.7小时。
8月规上工业增加值同比增4.5%、环比增0.32%，不及预期。
8月社会商品零售34375亿元、同比增1.9%，餐饮收入4351亿元、同比增3.3%。
8月CPI同比涨0.6%、环比涨0.4%，PPI同比跌1.8%、环比跌0.7%。
8月新增人民币贷款9000亿元，回升不及预期。
（国家统计局，中国人民银行，CNBC，路透社）

src: https://www.threads.net/@mcdonaldstw/post/C_9r2MLv_bu/

就寻呼机集体爆炸案，黎巴嫩安全部门受访介绍：摩萨德在传呼机内注入了一块可收讯的电路板，上面装有不到3克的炸药。9月17日，受一条编码的消息触发，3000台寻呼机同时起爆。
今年2月13日，真主党总书记纳斯鲁拉上电视讲话，警告说“手机比以色列间谍还危险”，呼吁成员摔掉、埋掉手机，或在铁盒里封存。真主党此前有170名士兵死于以军的针对性打击，决定解决手机被追踪的情资短板，遂采购了5000部金阿波罗AR924型BP机并配发。
金阿波罗是台湾的寻呼机厂商。根据官网介绍，AR924型的电池、震动马达、显示屏、胶封都是可拆卸替换，主板和USB充电板也是分开设置。
（路透社）

CVE-2024-45409 SAML authentication bypass

The Ruby SAML library is for implementing the client side of a SAML authorization. Ruby-SAML in <= 12.2 and 1.13.0 <= 1.16.0 does not properly verify the signature of the SAML Response. An unauthenticated attacker with access to any signed saml document (by the IdP) can thus forge a SAML Response/Assertion with arbitrary contents. This would allow the attacker to log in as arbitrary user within the vulnerable system. This vulnerability is fixed in 1.17.0 and 1.12.3.

CNA: GitHub, Inc.
Base Score: 10.0 CRITICAL
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N

https://nvd.nist.gov/vuln/detail/CVE-2024-45409
https://github.com/SAML-Toolkits/ruby-saml/security/advisories/GHSA-jw9c-mfg7-9rx2
https://github.com/omniauth/omniauth-saml/security/advisories/GHSA-cvp8-5r8g-fhvq
https://about.gitlab.com/releases/2024/09/17/patch-release-gitlab-17-3-3-released/

GitLab Critical Patch Release: 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10

地震了吗？安徽和江苏地区有震感。

09月18日20时08分在安徽合肥市肥东县附近（北纬32.00度，东经117.60度）发生5.0级左右地震，最终结果以正式速报为准。

🚨JUST IN: Guinness World Records has awarded the Israeli Mossad the record for "Most Vasectomies Completed at Once," surpassing the previous record holder, the 2024 Democratic National Convention.

https://fixupx.com/USMiniTru/status/1836134700165009510

(Satire)

THU 号被盗了
https://fixupx.com/Tsinghua_Uni/status/1836471006833119453

9月18日遇持刀袭击的深圳日本人学校学生去世，日本驻广州总领事透露这一消息。
深圳警方当天通报称，嫌疑人为一名44岁男性，已被当场抓获，犯案动机仍在调查。
遇袭学生为10岁男童，事发时正与监护人前往学校的路上。受事件影响，深圳日本人学校本周停课一周。
（朝日电视台，NHK）

GitLab 发布了多个版本的紧急补丁，包括 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10，主要修复了关键的 SAML 认证绕过漏洞。建议所有自托管的 GitLab 安装立即升级到这些版本。 GitLab.com 已经运行了修复后的版本。

主要修复内容：
- SAML 认证绕过漏洞**：更新了依赖项 omniauth-saml 到 2.2.1 版本和 ruby-saml 到 1.17.0 版本，以缓解 CVE-2024-45409。此漏洞仅影响配置了 SAML 认证的实例。

**自托管 GitLab 的缓解措施：
- 启用 GitLab 的双因素认证（2FA）。
- 禁止 SAML 的双因素绕过选项。

检测和识别攻击尝试：
- 攻击尝试的证据将出现在 GitLab 的 application_json 和 auth_json 日志文件中。

CVE-2024-45409 详细信息：
- Ruby SAML 库在 1.12.2 及以下版本和 1.13.0 到 1.16.0 版本中未能正确验证 SAML 响应的签名，导致攻击者可以伪造 SAML 响应/断言，从而以任意用户身份登录系统。此漏洞已在 1.17.0 和 1.12.3 版本中修复。

更多详情请查看：
- GitLab 发布公告
- CVE-2024-45409 详情
- ruby-saml 安全公告
- omniauth-saml 安全公告

#GitLab #Security #CVE #AIGC

日本首相岸田文雄19日谴责深圳日本男童遇袭事件，称犯行“极其卑劣”，是重大且严重的事件。
在被记者问及事件对中日关系的影响时，岸田表示当前不做预测。他还强调，现在距案发已超一天，他已指示有关部门向中方提出尽快做出说明的强烈要求。
他还表示，在要求中方确保在华日本人安全与杜绝此类事件再度发生的同时，日本政府也必将尽其所能采取一切措施。
中国外交部发言人在19日的记者会上就男童去世表示遗憾与痛心，并称此事系“个案”，“在任何国家都会发生”。关于犯案动机，发言人表示“事件仍在调查中”。
（FNN 1，2）