PostgreSQL 18.4、17.10、16.14、15.18 與 14.23 發(fā)布

發(fā)布者：PostgreSQL Global Development Group 分類：PostgreSQL 項目安全

PostgreSQL 全球開發(fā)組發(fā)布了所有受支持 PostgreSQL 版本的更新，包括 18.4、17.10、16.14、15.18 和 14.23。本次發(fā)布修復了 11 個安全漏洞，以及過去幾個月中報告的 60 多個 bug。

完整變更列表請參閱發(fā)行說明。

PostgreSQL 14 生命周期結(jié)束提醒

PostgreSQL 14 將于 2026 年 11 月 12 日停止接收修復。如果你正在生產(chǎn)環(huán)境中運行 PostgreSQL 14，建議盡快制定升級到更新的受支持版本的計劃。更多信息請參閱版本政策。

安全問題 CVE-2026-6472：PostgreSQLCREATE TYPE未檢查multirangeschema 的CREATE權(quán)限

CVSS v3.1 基礎(chǔ)分：5.4

受影響的受支持版本：14 到 18。

PostgreSQLCREATE TYPE存在授權(quán)檢查缺失問題，使對象創(chuàng)建者可以劫持依賴search_path查找用戶自定義類型的其他查詢，包括擴展定義的類型。換句話說，受害者可能會執(zhí)行攻擊者指定的任意 SQL 函數(shù)。PostgreSQL 18.4、17.10、16.14、15.18 和 14.23 之前的版本均受影響。

PostgreSQL 項目感謝 Jelte Fennema-Nio 報告此問題。

CVE-2026-6473：PostgreSQL 服務器因整數(shù)回繞導致內(nèi)存分配偏小

CVSS v3.1 基礎(chǔ)分：8.8

受影響的受支持版本：14 到 18。

PostgreSQL 服務器的多項功能中存在整數(shù)回繞問題，允許應用輸入提供者誘使服務器分配過小的內(nèi)存空間，并發(fā)生越界寫入。這會導致段錯誤。PostgreSQL 18.4、17.10、16.14、15.18 和 14.23 之前的版本均受影響。

PostgreSQL 項目感謝 Anemone、A1ex、Xint Code、Jihe Wang、Jingzhou Fu、Pavel Kohout、Petr Simecek、www.aisle.com、Calif.io[1] 的 Bruce Dang，以及 Sven Klemm 報告此問題。

CVE-2026-6474：PostgreSQLtimeofday()可能泄露部分服務器內(nèi)存

CVSS v3.1 基礎(chǔ)分：4.3

受影響的受支持版本：14 到 18。

PostgreSQLtimeofday()函數(shù)中存在外部可控的格式字符串問題，攻擊者可通過精心構(gòu)造的時區(qū)設(shè)置讀取部分服務器內(nèi)存。PostgreSQL 18.4、17.10、16.14、15.18 和 14.23 之前的版本均受影響。

PostgreSQL 項目感謝 Xint Code 報告此問題。

CVE-2026-6475：PostgreSQLpg_basebackuppg_rewind可覆蓋由源端超級用戶指定的無關(guān)文件

CVSS v3.1 基礎(chǔ)分：8.8

受影響的受支持版本：14 到 18。

PostgreSQLpg_basebackup的 plain 格式以及pg_rewind中存在跟隨符號鏈接的問題，使源端超級用戶可以覆蓋本地文件，例如/var/lib/postgres/.bashrc，從而劫持操作系統(tǒng)賬戶。由于shared_preload_libraries等機制，在這些命令執(zhí)行后啟動服務器，仍然意味著隱式信任源端超級用戶。

因此，只有當用戶在這些命令執(zhí)行后、服務器啟動前采取了相關(guān)操作時，例如將文件移動到另一臺虛擬機，或?qū)μ摂M機進行快照，該攻擊才具有實際影響。PostgreSQL 18.4、17.10、16.14、15.18 和 14.23 之前的版本均受影響。

PostgreSQL 項目感謝 Valery Gubanov、騰訊玄武實驗室 XlabAI Team、Atuin Automated Vulnerability Discovery Engine、Zhanpeng Liu、Guannan Wang 和 Guancheng Li 報告此問題。

CVE-2026-6476：PostgreSQLpg_createsubscriber可通過訂閱名觸發(fā) SQL 注入

CVSS v3.1 基礎(chǔ)分：7.2

受影響的受支持版本：17 到 18。

PostgreSQLpg_createsubscriber中存在 SQL 注入漏洞。擁有pg_create_subscription權(quán)限的攻擊者可以借此以超級用戶身份執(zhí)行任意 SQL。攻擊會在下一次運行pg_createsubscriber時生效。在 17 和 18 兩個大版本中，PostgreSQL 18.4 和 17.10 之前的小版本受影響。PostgreSQL 17 之前的版本不受影響。

PostgreSQL 項目感謝 Yu Kunpeng 報告此問題。

CVE-2026-6477：PostgreSQLlibpqlo_*函數(shù)允許服務器超級用戶覆蓋客戶端棧內(nèi)存

CVSS v3.1 基礎(chǔ)分：8.8

受影響的受支持版本：14 到 18。

PostgreSQLlibpq的lo_export()、lo_read()、lo_lseek64()和lo_tell64()函數(shù)使用了本質(zhì)上危險的PQfn(..., result_is_int=0, ...)調(diào)用，使服務器超級用戶可以用任意長度的響應覆蓋客戶端棧緩沖區(qū)。與gets()類似，PQfn(..., result_is_int=0, ...)會把由服務器決定的任意長度數(shù)據(jù)寫入一個大小未明確指定的緩沖區(qū)。

由于psql中的\lo_export命令以及pg_dump都會調(diào)用lo_read()，服務器超級用戶可以覆蓋pg_dump或psql的棧內(nèi)存。PostgreSQL 18.4、17.10、16.14、15.18 和 14.23 之前的版本均受影響。

PostgreSQL 項目感謝 Yu Kunpeng 和 Martin Heistermann 報告此問題。

CVE-2026-6478：PostgreSQL 可通過隱蔽計時信道泄露 MD5 哈希密碼

CVSS v3.1 基礎(chǔ)分：6.5

受影響的受支持版本：14 到 18。

PostgreSQL 認證過程中，在比較 MD5 哈希密碼時存在隱蔽計時信道，攻擊者可利用該問題恢復足以完成認證的用戶憑據(jù)。該問題不影響scram-sha-256密碼；scram-sha-256是所有受支持版本中的默認方式。不過，從 PostgreSQL 13 或更早版本升級而來的現(xiàn)有數(shù)據(jù)庫中，仍可能保留 MD5 哈希密碼。PostgreSQL 18.4、17.10、16.14、15.18 和 14.23 之前的版本均受影響。

PostgreSQL 項目感謝 Joe Conway 報告此問題。

CVE-2026-6479：PostgreSQL SSL/GSS 初始化因不受控遞歸導致拒絕服務

CVSS v3.1 基礎(chǔ)分：7.5

受影響的受支持版本：14 到 18。

PostgreSQL 的 SSL 和 GSS 協(xié)商過程中存在不受控遞歸問題。能夠連接 PostgreSQLAF_UNIXsocket 的攻擊者，可借此造成持續(xù)性的拒絕服務。如果 SSL 和 GSS 都被禁用，能夠訪問 PostgreSQL TCP socket 的攻擊者也可以造成同樣結(jié)果。PostgreSQL 18.4、17.10、16.14、15.18 和 14.23 之前的版本均受影響。

PostgreSQL 項目感謝 Calif.io 與 Claude 和 Anthropic Research 協(xié)作報告此問題。

CVE-2026-6575：PostgreSQLpg_restore_attribute_stats接受會導致查詢規(guī)劃讀取越過統(tǒng)計數(shù)組末尾的值

CVSS v3.1 基礎(chǔ)分：4.3

受影響的受支持版本：18。

PostgreSQL 函數(shù)pg_restore_attribute_stats()存在緩沖區(qū)越界讀取問題。該函數(shù)接受長度不匹配的數(shù)組值，進而導致查詢規(guī)劃階段讀取某個數(shù)組末尾之后的內(nèi)存。表維護者可以據(jù)此推斷數(shù)組末尾之后的內(nèi)存值。在 PostgreSQL 18 大版本中，PostgreSQL 18.4 之前的小版本受影響。PostgreSQL 18 之前的版本不受影響。

PostgreSQL 項目感謝 Jeroen Gui 報告此問題。

CVE-2026-6637：PostgreSQLrefint允許棧緩沖區(qū)溢出和 SQL 注入

CVSS v3.1 基礎(chǔ)分：8.8

受影響的受支持版本：14 到 18。

PostgreSQLrefint模塊中存在棧緩沖區(qū)溢出問題，允許無特權(quán)數(shù)據(jù)庫用戶以運行數(shù)據(jù)庫的操作系統(tǒng)用戶身份執(zhí)行任意代碼。另一個獨立攻擊場景是：如果應用將用戶可控列聲明為refint級聯(lián)主鍵，并允許用戶控制對該列的更新，則主鍵更新值的提供者可通過 SQL 注入，以執(zhí)行該主鍵更新的數(shù)據(jù)庫用戶身份執(zhí)行任意 SQL。

PostgreSQL 18.4、17.10、16.14、15.18 和 14.23 之前的版本均受影響。

PostgreSQL 項目感謝 Nikolay Samokhvalov 報告此問題。

CVE-2026-6638：PostgreSQLREFRESH PUBLICATION可通過表名觸發(fā) SQL 注入

CVSS v3.1 基礎(chǔ)分：3.7

受影響的受支持版本：16 到 18。

PostgreSQL 邏輯復制的ALTER SUBSCRIPTION ... REFRESH PUBLICATION存在 SQL 注入漏洞。訂閱端表的創(chuàng)建者可以利用該漏洞，使用訂閱在發(fā)布端的憑據(jù)執(zhí)行任意 SQL。攻擊會在下一次執(zhí)行REFRESH PUBLICATION時生效。在 16、17 和 18 三個大版本中，PostgreSQL 18.4、17.10 和 16.14 之前的小版本受影響。PostgreSQL 16 之前的版本不受影響。

PostgreSQL 項目感謝 Pavel Kohout 和 Aisle Research 報告此問題。

Bug 修復與改進

本次更新修復了過去幾個月中報告的 60 多個 bug。以下列出的問題影響 PostgreSQL 18，其中一部分也可能影響其他受支持的 PostgreSQL 版本。

修復在唯一索引上使用非確定性排序規(guī)則時，查詢可能返回錯誤結(jié)果的問題。

修復外鍵觸發(fā)器可延遲性丟失的問題。此前，如果某個外鍵定義為DEFERRABLE INITIALLY DEFERRED，在先被設(shè)置為NOT ENFORCED，再切回ENFORCED后，會表現(xiàn)得像NOT DEFERRABLE。如果你有受此問題影響的外鍵，安裝本次更新后，可通過先將其設(shè)為NOT ENFORCED，再切回ENFORCED來修復。

提升規(guī)劃器在更多場景中應用分區(qū)裁剪的能力。

修復自連接消除邏輯，使其能夠處理僅由布爾列構(gòu)成的連接條件，例如ON t1.boolcol。

圍繞虛擬生成列進行多項修復，包括確保當EXCLUDED引用了虛擬生成列時，INSERT ... ON CONFLICT能夠正常工作。

當MERGE在repeatable read或serializable隔離級別下遇到被并發(fā)更新的元組時，報告序列化失敗。

修復CREATE TABLE ... LIKE ... INCLUDING STATISTICS在源表包含一個或多個已刪除列時的問題。

修復WITHOUT OVERLAPS，使其允許使用 domain。

禁止通過multirange讓復合類型成為自身的成員。

修復array_agg(anyarray)并行執(zhí)行時有時會返回錯誤結(jié)果的問題。

防止恢復增量備份時產(chǎn)生膨脹。

防止卡住的邏輯復制槽同步工作進程阻塞備用服務器提升為主庫。

讓pg_aios系統(tǒng)視圖的pid列在條目沒有所屬進程時顯示NULL，而不是0。

修復復制仍在活躍時，pg_stat_replication仍顯示NULL延遲的情況。

正確顯示GROUP BY中使用的 JOIN 別名變量。

如果啟動進程失敗，postmaster 退出前會正確關(guān)閉其他子進程。

修復一個競態(tài)條件：備用服務器在跟隨較舊小版本主庫的 WAL 時，可能因此陷入崩潰并重啟的循環(huán)。

防止邏輯復制正在發(fā)布數(shù)據(jù)時，walsender 進程關(guān)閉過程中出現(xiàn)無限等待。

確保恢復過程中持久化空閑空間映射的變更。這可能會影響備用服務器提升后的性能。

修復pg_basebackup和pg_verifybackup使用的備份解壓和 tar 解析代碼中的若干 bug。

確保pg_dumpall不會跳過 grantor OID 已懸空的角色授權(quán)，恢復 PostgreSQL 16 之前的行為。如果源服務器為 PostgreSQL 16 或更高版本，則會對缺失的 grantor 發(fā)出警告。

修復pg_upgrade，使其在連接較舊的源服務器時使用正確的協(xié)議版本。

修復使用RANGE_TABLE選項時pg_overexplain的輸出。

修復postgres_fdw因過早清理失敗連接而導致崩潰的問題。

本次發(fā)布還將時區(qū)數(shù)據(jù)文件更新到 tzdata 2026b。該版本中，加拿大不列顛哥倫比亞省，即America/Vancouver，將從 2026 年 11 月起全年采用 UTC-07，實際效果相當于永久夏令時。本次發(fā)布假定該地區(qū)從那時起的時區(qū)縮寫為 MST，不過這一點仍可能變化。此外，本次更新還包含摩爾多瓦的歷史修正：摩爾多瓦自 2022 年以來采用歐盟夏令時切換時間。

更新方式

所有 PostgreSQL 更新版本都是累積的。與其他小版本發(fā)布一樣，用戶應用本次更新時不需要轉(zhuǎn)儲并重新加載數(shù)據(jù)庫，也不需要使用pg_upgrade；只需停止 PostgreSQL 并更新其二進制文件即可。

如果用戶跳過了一個或多個更新版本，可能需要執(zhí)行額外的更新后步驟；詳情請參閱早期版本的發(fā)行說明。

更多細節(jié)請參閱發(fā)行說明。

如果你對這篇發(fā)布公告有修正或建議，請發(fā)送到公開郵件列表pgsql-www@lists.postgresql.org。

老馮評論

11 個 CVE，60+ 個 Bug，數(shù)字看著挺嚇人。但這次真正的故事不在 patch 里，在署名欄里。

把這次的報告人掃一遍：Calif.io、Xint Code、Aisle Research、Atuin Automated Vulnerability Discovery Engine、玄武 XlabAI —— 壓軸的最騷氣："Calif.io in collaboration withClaude and Anthropic Research"。

Anthropic Claude 自己上桌挖洞了。模型公司的名字第一次寫進 PG 的 CVE 公告。而 CVE-2026-6473 一個整數(shù)回繞掛了十個報告人。十撥人同時撞上同一個洞，這是大撞車 —— 大家的挖洞工具鏈同質(zhì)化。

所以這一波是 AI 寫出來的 Bug 嗎？

PG 核心代碼到今天仍然是這個星球上 review 最嚴苛的 C 項目之一，AI 想寫進去比駱駝穿針眼還難。真正發(fā)生的事，是漏洞挖掘的邊際成本塌方。

整數(shù)回繞、格式化串、棧溢出、時序側(cè)信道——這些教科書級的 C 病灶以前沒人挖，不是技術(shù)不行，是 token 太貴。一個安全工程師啃半年的活，現(xiàn)在跑一晚上 fuzzer + LLM 符號推理就批量出貨。過去三十年所有人類 reviewer 大腦自動跳過的邊界條件，被 AI 回爐重掃了一遍。

接下來會發(fā)生什么？

Linux、SQLite、Mongo、Redis、MySQL、MariaDB ——2026 整年所有主流開源項目 CVE 公告都會變厚。就好比另一篇 MinIO 里，四月份集中曝光出一批 CVE 漏洞，甚至還有 10 分的。這不是開源項目代碼質(zhì)量因為 Vibe Coding 突然變爛，是「成熟開源系統(tǒng)被 AI 系統(tǒng)性拷打」的開篇。

數(shù)據(jù)庫老司機

點一個關(guān)注 ??，精彩不迷路

對 PostgreSQL， Pigsty，下云，AI 感興趣的朋友

歡迎加入 PGSQL x Pigsty 交流群 QQ 619377403