大数跨境

【重磅安全更新】PostgreSQL全系列补丁发布:11个漏洞修复+60+bug,14版本即将EOL

【重磅安全更新】PostgreSQL全系列补丁发布:11个漏洞修复+60+bug,14版本即将EOL 开源软件联盟PostgreSQL分会
2026-05-15
12
导读:北京时间 2026 年 5 月 14 日,PostgreSQL 全球开发组正式发布所有支持版本的累积安全更新:

北京时间 2026 年 5 月 14 日,PostgreSQL 全球开发组正式发布所有支持版本的累积安全更新:18.4、17.10、16.14、15.18 和 14.23。本次更新修复 11 个安全漏洞和 60 余个累计 bug,其中多个高危漏洞可导致远程代码执行、系统文件篡改和拒绝服务强烈建议所有生产环境立即升级


🔴 核心安全漏洞速览(按风险等级)

高危漏洞(CVSS 8.8,影响 14-18 全系列)

  1. CVE-2026-6473
    :整数溢出导致服务器内存越界写入,触发段错误
  2. CVE-2026-6475
    pg_basebackup/pg_rewind符号链接跟随漏洞,源端超级用户可覆盖本地系统文件
  3. CVE-2026-6477
    :libpq 的lo_*系列函数栈溢出,服务器超级用户可篡改 psql/pg_dump 客户端内存
  4. CVE-2026-6637
    refint模块栈溢出,普通数据库用户可执行任意系统代码


中高危漏洞

  • CVE-2026-6479(7.5 分)
    :SSL/GSS 初始化递归漏洞,可导致持续拒绝服务
  • CVE-2026-6476(7.2 分,仅 17-18)
    pg_createsubscriberSQL 注入,可提权至超级用户
  • CVE-2026-6478(6.5 分)
    :MD5 密码时序泄露,仅影响未升级至 scram-sha-256 的旧密码

其余为中低危漏洞,涉及权限绕过、内存泄露和逻辑复制 SQL 注入等问题。


🛠️ 关键 Bug 修复与优化

  • 修复唯一索引使用非确定性排序时的查询结果错误
  • 解决外键触发器可延迟性丢失问题(DEFERRABLE INITIALLY DEFERRED状态异常)
  • 增强分区裁剪能力,提升分区表查询性能
  • 修复MERGE语句在可重复读 / 串行化隔离级别下的并发更新异常
  • 解决逻辑复制槽同步进程阻塞备库提升的问题
  • 修复pg_stat_replication显示空延迟的错误
  • 更新时区数据至 tzdata 2026b(含不列颠哥伦比亚永久夏令时调整)


⚠️ 重要生命周期提醒

PostgreSQL 14 将于 2026 年 11 月 12 日正式停止所有安全和功能更新。请仍在生产环境使用 14 版本的用户尽快制定升级计划,迁移至 15 及以上长期支持版本。


🚀 升级指南

本次更新为累积性二进制补丁,无需执行pg\_dump/pg\_restorepg\_upgrade,仅需停止数据库服务、更新二进制文件后重启即可。跳过多个补丁版本的用户请参考对应版本发行说明执行额外步骤。

原文链接:https://www.postgresql.org/about/news/postgresql-184-1710-1614-1518-and-1423-released-3297/



图片

【声明】内容源于网络
0
0
开源软件联盟PostgreSQL分会
PostgreSQL-最强大的开源关系型数据库
内容 1453
粉丝 0
开源软件联盟PostgreSQL分会 PostgreSQL-最强大的开源关系型数据库
总阅读6.2k
粉丝0
内容1.5k