北京时间 2026 年 5 月 14 日,PostgreSQL 全球开发组正式发布所有支持版本的累积安全更新:18.4、17.10、16.14、15.18 和 14.23。本次更新修复 11 个安全漏洞和 60 余个累计 bug,其中多个高危漏洞可导致远程代码执行、系统文件篡改和拒绝服务,强烈建议所有生产环境立即升级。
🔴 核心安全漏洞速览(按风险等级)
高危漏洞(CVSS 8.8,影响 14-18 全系列)
- CVE-2026-6473
:整数溢出导致服务器内存越界写入,触发段错误 - CVE-2026-6475
: pg_basebackup/pg_rewind符号链接跟随漏洞,源端超级用户可覆盖本地系统文件 - CVE-2026-6477
:libpq 的 lo_*系列函数栈溢出,服务器超级用户可篡改 psql/pg_dump 客户端内存 - CVE-2026-6637
: refint模块栈溢出,普通数据库用户可执行任意系统代码
中高危漏洞
- CVE-2026-6479(7.5 分)
:SSL/GSS 初始化递归漏洞,可导致持续拒绝服务 - CVE-2026-6476(7.2 分,仅 17-18)
: pg_createsubscriberSQL 注入,可提权至超级用户 - CVE-2026-6478(6.5 分)
:MD5 密码时序泄露,仅影响未升级至 scram-sha-256 的旧密码
其余为中低危漏洞,涉及权限绕过、内存泄露和逻辑复制 SQL 注入等问题。
🛠️ 关键 Bug 修复与优化
-
修复唯一索引使用非确定性排序时的查询结果错误 -
解决外键触发器可延迟性丢失问题( DEFERRABLE INITIALLY DEFERRED状态异常) -
增强分区裁剪能力,提升分区表查询性能 -
修复 MERGE语句在可重复读 / 串行化隔离级别下的并发更新异常 -
解决逻辑复制槽同步进程阻塞备库提升的问题 -
修复 pg_stat_replication显示空延迟的错误 -
更新时区数据至 tzdata 2026b(含不列颠哥伦比亚永久夏令时调整)
⚠️ 重要生命周期提醒
PostgreSQL 14 将于 2026 年 11 月 12 日正式停止所有安全和功能更新。请仍在生产环境使用 14 版本的用户尽快制定升级计划,迁移至 15 及以上长期支持版本。
🚀 升级指南
本次更新为累积性二进制补丁,无需执行pg\_dump/pg\_restore或pg\_upgrade,仅需停止数据库服务、更新二进制文件后重启即可。跳过多个补丁版本的用户请参考对应版本发行说明执行额外步骤。
原文链接:https://www.postgresql.org/about/news/postgresql-184-1710-1614-1518-and-1423-released-3297/

