前言:为什么说 minor 升级并不枯燥?
在开源数据库的运维体系中,很多人倾向于将目光聚焦在像 PostgreSQL 18 这样包含 uuidv7() 原生支持、EXPLAIN ANALYZE 默认包含缓冲区监控 以及序列/位图堆扫描性能大幅跃升 的重大主版本(Major Release)上。相反,诸如 18.4 这样的次要版本(Minor Release)往往容易被冠以"例行维护"的标签而被运维团队无视。
然而,正像业界数据库专家所言:"次要版本从不枯燥,它们是生产环境走向真正成熟的标志。"
PostgreSQL 18.4 的发布就是对这一观点的最好诠释。作为全球最顶尖的开源关系型数据库,PostgreSQL 全球开发小组(Global Development Group)在这次维护更新中,一次性倾泻了 11 个安全漏洞(CVE)的修复 ,同时解决了超过 60 个潜藏在查询优化器、逻辑复制、数据备份和并发锁机制中的程序缺陷(Bug)。
对于任何在生产环境中承载高并发、高合规性要求核心业务的架构师和 DBA 来说,读懂 18.4 版本的更新,不仅仅是为了"打补丁",更是为了深刻理解分布式数据存储、网络通信协议栈以及内存管理机制中那些极易被忽视的深水区陷阱。
本篇技术博客将带你跨越表象,逐行解构 PostgreSQL 18.4 的核心底层修复,为你打通从"知其然"到"知其所以然"的进阶之路。
一、 11 个安全漏洞(CVE)深度起底:补丁背后的安全威胁
在 18.4 修复的 11 个 CVE 中,涵盖了从堆栈缓冲区溢出(Stack Buffer Overflow) 、外部控制格式字符串泄漏 、到逻辑复制中的高特权 SQL 注入等多种攻击面。下面我们将针对其中最致命的几个高危漏洞进行原理级剖析。
┌─────────────────────────────────────────────────────────────┐
│ PostgreSQL 18.4 攻击面全景图 │
└──────────────────────────────┬──────────────────────────────┘
│
┌─────────────────────┼─────────────────────┐
▼ ▼ ▼
┌───────────────┐ ┌───────────────┐ ┌───────────────┐
│ 内存破坏层 │ │ 高特权注入层│ │ 生态与基础层 │
├───────────────┤ ├───────────────┤ ├───────────────┤
│ CVE-2026-6637 │ │ CVE-2026-6476 │ │ CVE-2026-6475 │
│ CVE-2026-6473 │ │ 逻辑复制流注入│ │ 备份目录遍历 │
│ CVE-2026-6477 │ └───────────────┘ └───────────────┘
└───────────────┘- CVE-2026-6637:
refint模块中的堆栈溢出与级联 SQL 注入(CVSS 8.8)
- 漏洞本质 :
contrib/refint扩展模块中的内存边界校验缺失与特权上下文错置。 - 高危级别 :重要 (Important) | Base Score: 8.8
威胁场景解构
refint 是 PostgreSQL 社区提供的一个用于实现"引用完整性(Reference Integrity)"的古老扩展模块,常在一些不直接使用系统原生外键约束的遗留系统或定制化业务场景中,通过触发器(Trigger)来维护多表之间的数据联动。
该漏洞包含两个完全不同的攻击维度:
- 操作系统级别的任意代码执行 :一个仅拥有低级权限(Low Privileges Required)的数据库用户,可以通过精心构造的数据输入输入到被
refint监控的列中。由于该模块在内部处理输入参数时使用了类似 C 语言中未进行边界防护的字符串拷贝函数,攻击者可以借此蓄意引发堆栈缓冲区溢出(Stack Buffer Overflow) 。因为 PostgreSQL 服务端进程是以操作系统的postgres用户身份运行的,这意味着攻击者可以借此脱离数据库沙箱,直接在底层操作系统上执行任意代码。 - 级联更新中的高特权 SQL 注入 :如果应用层将一个由用户控制的列声明为
refint级联更新的主键(Cascade Primary Key),并且系统允许用户控制该列的更新值,那么当主键被触发更新并向从表做级联扩散时,原本低权限的用户输入将被带入到高权限的触发器执行上下文中。攻击者可以通过在更新值中嵌入恶意 SQL 片段,在没有SUPERUSER权限的情况下,借刀杀人地以执行更新操作的数据库用户身份执行任意恶意命令。
18.4 修复方案
在 18.4 源码中,社区彻底重构了 refint 模块内部的动态数组与字符串缓冲区管理逻辑,强制使用带长度边界限制的通用安全函数(如 snprintf、StringInfo 结构体),并对级联触发器在内部动态拼接 SQL 语句时的参数化绑定进行了底层收紧,完全阻断了将用户字面量直接拼接到 SQL 抽象语法树(AST)中的可能性。
- CVE-2026-6473 与 CVE-2026-6474:内存溢出与
timeofday()服务端内存外泄
- 漏洞本质:内存分配中的整数溢出漏洞;时区格式化函数的外部控制字符串缺陷。
威胁场景解构
- CVE-2026-6473 属于典型的数据库核心引擎**内存越界写入(Out-of-bounds Write)**缺陷。当攻击者传入某些具有极大边界值的数值进行内部内存块分配计算时,乘法或加法操作触发了 C 语言底层的整数回绕(Integer Wrap-around)。由于回绕后的数值极小,系统申请到了一个远小于实际需求的内存块,然而随后的数据拷贝依然按照原定大尺寸进行,从而造成堆内存越界改写。这会导致 PostgreSQL 守护进程(Postmaster)遭遇段错误(Segmentation Fault)瞬间崩溃,甚至有可能被恶意利用来实现堆破坏攻击。
- CVE-2026-6474 则是对经典格式化字符串漏洞(Format String Vulnerability)的重现。PostgreSQL 提供的内置函数
timeofday()在处理用户动态传入的定制化时区字符串(Timezone Zones)时,未能进行严密的白名单或转义过滤。恶意用户可以通过精心设计的控制字符,诱导服务器将内部缓存区中的指针数据甚至敏感密钥信息,当作普通文本格式化输出给客户端。这种"服务端内存慢撒气"的漏洞,往往是复杂组合拳攻击中获取凭据(Credential Harvesting)的关键前置步骤。
18.4 修复方案
针对 CVE-2026-6473,18.4 在所有涉及动态大小分配的底层 palloc、repalloc 调用前,强制插入了 pg_add_s64 / pg_mul_s64 等带溢出检查的内部安全算子;针对 CVE-2026-6474,则彻底剥离了 timeofday() 对用户控制字符串的直接解构,改由强类型的内部时区索引对象(Time Zone Ephemeris)进行映射中转。
- CVE-2026-6476:
pg_createsubscriber订阅流中的高特权 SQL 注入(CVSS 8.8)
- 漏洞本质:逻辑复制初始化脚手架工具的命令拼接注入。
- 受影响大版本:PostgreSQL 17 - 18。
威胁场景解构
pg_createsubscriber 是从 PostgreSQL 17 开始引入的极具战略意义的官方运维工具,其核心使命是将一个通过物理流复制(Physical Replication)运行的只读备库(Standby),在极短时间内平滑转换成一个独立的、基于逻辑复制(Logical Replication)的订阅端(Subscriber)。
然而,18.4 之前的版本揭示了一个致命的设计缺陷:当该脚手架工具在连接到发布端和订阅端自动创建底层复制槽与订阅关系时,它会读取用户指定的订阅名称(Subscription Name)并将其拼接到内部执行的 SQL 语句中。如果一个恶意用户拥有 pg_create_subscription 角色特权(即使该角色在数据库中不是超级用户),他可以通过构造一个包含特殊闭合符和恶意 Payload 的订阅名称。
当自动化运维脚手架 pg_createsubscriber 随后以数据库超级用户(Superuser)的身份启动并扫描、运行这些配置时,恶意 SQL 将被高特权执行。
[攻击者(仅有 pg_create_subscription 权限)]
│
▼ 蓄意创建恶意订阅名:
"sub_test; ALTER ROLE attacker WITH SUPERUSER;--"
│
▼ (写入元数据)
[运维触发 pg_createsubscriber 工具以超级用户身份运行]
│
▼
底层未参数化,直接拼接执行:
"CREATE SUBSCRIPTION sub_test; ALTER ROLE attacker WITH SUPERUSER;-- ..."
│
▼
[后果:低权限攻击者瞬间窃取数据库最高控制权(SUPERUSER)]18.4 修复方案
在 18.4 版本中,pg_createsubscriber 内部与服务端交互的所有通道全部升级为强参数化查询(Parameterized Queries),并且在接收外部输入的元数据标识符时,强制调用 quote_identifier() 函数进行严格的转义限制,确保任何包含多语句截断符号(如分号 ;)的输入都会被视作单纯的字符串字面量或合法的库表对象名,而绝不会被作为指令解析。
- CVE-2026-6475:
pg_basebackup与pg_rewind中的目录遍历与安全边界突破
- 漏洞本质:备份与节点重同步工具中的路径遍历(Path Traversal)缺陷。
威胁场景解构
在大型分布式数据库集群中,pg_basebackup(用于创建基础备份)和 pg_rewind(用于在集群发生 Failover 后,将旧的主库快速回溯并同步为新的备库)是不可或缺的底层高频工具。
这两个工具在工作时,需要从远程数据库服务器下载、同步大量的文件系统布局。CVE-2026-6475 允许恶意远程服务器通过构造带有特殊相对路径符号(如 ../)的底层结构,诱导客户端的 pg_basebackup 或 pg_rewind 进程跳出原本指定的备份或数据目录基准线(Base Directory),将恶意的系统配置文件覆盖写到客户端主机的任意敏感路径下(例如覆盖 .ssh/authorized_keys 或是系统的 cron 定时任务文件)。
18.4 修复方案
18.4 对所有涉及流式文件传输的组件(包括前端工具与后端 walsender 进程)引入了绝对路径沙箱校验机制。任何被拉取的文件路径在本地落盘前,都会进行规范化解析(Canonicalization),一旦发现解析后的最终路径超出了目标数据目录(Data Directory)的根节点,系统将立刻熔断传输并向管理员抛出安全异常。
二、 60+ 程序错误(Bug)精准爆破:打通底层的高可用与性能脉络
除了这些惊心动魄的安全补丁,PostgreSQL 18.4 解决的 60 多个程序错误,更是直接关乎到我们在高并发、大数据量生产环境下的数据正确性、查询性能和复制稳定性。
- 查询优化器(Optimizer)与执行器的正确性修复
PostgreSQL 的查询优化器以精巧、强悍著称,但在复杂的 SQL 场景下,一些边缘缺陷依然可能导致毁灭性的后果。18.4 在优化器层面主要攻克了以下顽疾:
- 分区裁剪(Partition Pruning)与自连接剔除(Self-Join Elimination)的联合缺陷 :在高度分区的表结构(如按天、按小时拆分的时序数据表)中,当编写复杂的带有自连接(Self-Join)且子查询内部包含不稳定过滤条件时,优化器在进行静态和动态分区裁剪时,偶发性地会出现"裁剪过度"或"状态丢失"的逻辑错误。这会导致执行器跳过某些本应读取的分区,从而向客户端返回部分数据丢失的错误查询结果(Silent Data Omission)。18.4 修正了状态机在多级执行树转换时的上下文继承链。
- 并行聚合(Parallel Aggregation)中的数组计算崩溃 :当系统启用并行查询(Parallel Query)去处理包含大型数组(Array)类型或自定义聚合函数的统计报表时,并行 Worker 进程在通过共享内存(Shared Memory)向 Gather 节点汇总(Serialize / Deserialize)中间状态数据时,会因为边界偏移量未对齐而抛出核心崩溃(Core Dump)。18.4 重新梳理了
nodeAgg.c中关于并行上下文序列化时的数据对齐边界。
- 逻辑复制(Logical Replication)的稳定性升维
自从 PostgreSQL 18 将 CREATE SUBSCRIPTION 的默认流式传输选项全面升级为 streaming = parallel(即默认开启多 Worker 并行应用逻辑日志,大幅度降低大事务引发的复制延迟)后,逻辑复制在企业级核心架构中的出镜率越来越高。
然而,在高强度高并发的数据同步链路中,前几个版本暴露出了两个令人头疼的 Bug:
- 进程意外卡死与日志发送阻塞:当上游发布端(Publisher)在短时间内密集发生大批量的 DDL 变更以及大事务提交时,负责接收的多个并行 Apply Worker 之间容易因为行级锁竞争和本地元数据锁(OID Lock)发生死锁。更糟糕的是,底层的分布式状态机未能及时触发超时解锁,导致逻辑复制槽(Replication Slot)长时间卡死,WAL 日志在发布端疯狂积压,最终撑爆磁盘。
- 18.4 的解法 :在 18.4 中,开发小组重构了逻辑复制接收端在
parallel模式下的锁升级矩阵,当检测到并行的后台 Worker 与主接收进程发生锁冲突时,强制引入了非阻塞式的重试机制(Non-blocking Retry with Exponential Backoff),并完善了pg_stat_subscription_stats监控视图的底层数据采集精度,让任何微小的冲突都能被及时观测并优雅释放。
- 数据备份与外键触发器(FK Trigger)的缺陷规避
- 延迟外键约束(Deferred Foreign Key)在特定条件下的失效 :在 PostgreSQL 中,我们可以通过
DEFERRABLE INITIALLY DEFERRED将外键检查推迟到事务提交(Commit)时再统一进行。但在之前的版本中,如果在同一个事务内对带有此类约束的表进行了极为复杂的批量UPSERT(INSERT ... ON CONFLICT DO UPDATE)操作,某些被延迟的触发器状态会被系统意外抹去,导致含有违反引用完整性的脏数据在毫无警告的情况下成功 Commit 进数据库。18.4 彻底重构了事务结束时延迟触发器队列(Pending Trigger Queue)的遍历扫描机制,确保无一遗漏。 - 增量备份(Incremental Backup)恢复时的文件"虚胖"膨胀:PostgreSQL 17/18 引入的官方原生增量备份是一项划时代的功能,但旧版本在对这些增量备份进行链条式合并恢复(Restore & Combine)时,由于对未发生修改的底层元数据空洞(Data Holes)处理不够紧凑,会导致恢复出来的目标数据文件出现大面积的逻辑空洞和不必要的物理扩容。18.4 优化了文件的空洞合并算法,让恢复后的物理体积与源端保持严密的一致性。
三、 时区库与环境适配更新:BC 省与摩尔多瓦的"时间魔术"
除了底层的代码逻辑,PostgreSQL 的每一次小版本更新通常都会同步上游最新的时区数据库。在 18.4 中,系统内置的时区文件正式更新到了 tzdata 2026b 版本。
这一次的时区调整包含两个重要的地缘政治和天文时间变更:
- 加拿大不列颠哥伦比亚省(America/Vancouver) :宣布从 2026 年 11 月开始,将彻底废除一年两次的冬夏令时轮换,全面转为永久性的 UTC-07 固定时区 (实质上将永久保留夏令时)。PostgreSQL 18.4 已经提前将该区域的时区缩写默认假设为
MST。如果你的跨境电商业务或跨国物流调度系统涉及到该地区,若不升级 18.4,在 2026 年底计算当地业务发生的绝对时间戳(Timestamp with time zone)时,将产生精确的一小时系统级严重偏差! - 摩尔多瓦(Moldova):完成了自 2022 年以来跟随欧盟夏令时切换规则的历史校正。
底层时区数据的准确,是金融对账、分布式结算系统赖以生存的生命线,这也是为什么哪怕业务上没有触发高危漏洞,DBA 也应当定期跟随社区步伐更新次要版本的重要原因之一。
四、 全方位的生产环境检查清单(DBA 视角的实战审视)
在 ProxySQL 及各云厂商的架构体系中,每一次 PostgreSQL 集中发布安全修补版本,都是对企业整体运维成熟度的一次大考。结合 PostgreSQL 18.4 的特性,我们建议架构师和 DBA 团队从以下几个维度对现有的数据库生产集群进行全面的 Operational Review。
生产环境盘点与优化矩阵
| 运维审视维度 (Operational Areas) | 潜在风险源 (Risks Group) | 18.4 核心干预与技术应对 | 推荐动作 (Recommended Actions) |
|---|---|---|---|
| 安全暴露面评估 (Security Exposure) | 低权限用户利用 refint 破坏堆栈 利用 timeofday() 窃取内存凭据 |
封堵 CVE-2026-6637 等 11 个安全漏洞 | 1. 检查生产数据库中是否安装了 refint 扩展。 2. 限制对 CREATE TYPE 及逻辑订阅名称的普通用户控制权。 |
| 逻辑复制与可用性 (Logical Replication) | 并行应用事务模式下(streaming = parallel) 多 Worker 冲突引发的链路卡死 |
优化 pg_stat_subscription_stats 监控, 重构 Worker 锁竞争回退机制 |
1. 监控逻辑复制槽积压与 WAL 磁盘增长速率。 2. 检查 pg_stat_subscription_stats 中新增的冲突计数指标。 |
| 备份与恢复工作流 (Backup Workflows) | 恶意的远程发布端 利用相对路径遍历(CVE-2026-6475) 覆盖写客户端敏感文件 | 为 pg_basebackup 与 pg_rewind 增加强行路径沙箱限制 |
1. 确保所有自动化备份脚本、定时任务拉取逻辑中的二进制工具链同步升级。 2. 验证恢复链条。 |
| 查询结果与正确性 (Query Correctness) | 分区表配合复杂多表连接时, 优化器计算出错引发的静默数据丢失 | 修正分区裁剪与自连接剔除的底层状态机 | 1. 对使用了深度分区(Partitioning)和频繁进行批量报表计算的系统进行结果对账。 2. 升级至 18.4 彻底杜绝执行树错误。 |
| 生命周期终点规划 (EOL Planning) | PostgreSQL 14 即将于 2026 年 11 月 12 日 彻底终止生命周期(End of Life) | 社区将彻底切断 14 版本的全量修补, 使其成为不可控的"裸奔"实体 | 1. 盘点资产库,找出所有仍运行在 14 版本的实例。 2. 借助 18.4 的稳定底座,立刻制定向 PostgreSQL 18 的大版本升级计划。 |
五、 零停机平滑升级 18.4 实战指南(以 CentOS / Ubuntu 为例)
因为 PostgreSQL 所有的次要版本更新(如 18.3 升级到 18.4)在底层存储架构、磁盘页面布局(Page Layout)上都是百分之百向前兼容(Cumulative & Inter-compatible)的 。因此,升级过程完全不需要 执行耗时的 pg_dump 或者是 pg_upgrade 大版本数据迁移!
整个升级动作的核心逻辑只有八个字:替换二进制,重启服务。
┌─────────────────────────┐
│ 步骤 1:全量物理基础备份 │
└────────────┬────────────┘
│
▼
┌─────────────────────────┐
│ 步骤 2:下载并安装新包 │
└────────────┬────────────┘
│
▼
┌─────────────────────────┐
│ 步骤 3:快速重启 DB 引擎 │
└────────────┬────────────┘
│
▼
┌─────────────────────────┐
│ 步骤 4:元数据与版本验证 │
└─────────────────────────┘实战演练命令序列
- 进行安全的物理基础备份(以防万一)
在做任何在线变更前,即便小版本升级极度安全,也务必通过备份工具留下当前的物理快照
# 以 postgres 运维用户执行基础备份
pg_basebackup -D /var/lib/pgsql/backup_18.3_freeze -Fp -Xs -P -v-
在 RHEL / CentOS 环境下更新二进制包
检查官方仓库中是否有最新的 18.4 稳定版
yum check-update postgresql18-server
仅仅升级包体,此时运行中的数据库仍在使用旧内存镜像,不会中断业务
yum update -y postgresql18-server postgresql18-contrib postgresql18-libs
-
在 Ubuntu / Debian 环境下更新二进制包
更新本地源索引
sudo apt-get update
安装最新版二进制,apt 默认会在升级后尝试重启服务,需注意控制时间窗口
sudo apt-get --only-upgrade install postgresql-18 postgresql-client-18
-
控制业务低峰期窗口,执行秒级重启
这是整个升级流程中唯一需要短暂闪断的步骤。PostgreSQL 的重启通常在 2-5 秒内即可完成:
# 触发干净的数据库关闭与快速拉起
systemctl restart postgresql-18.service- 验证升级结果
连接到数据库,执行以下命令验证内核版本号以及时区状态:
-- 1. 查看核心版本号是否已变更为 18.4
SELECT version();
-- 预期输出:PostgreSQL 18.4 on x86_64-pc-linux-gnu, compiled by ...
-- 2. 查看当前编译的时区数据版本
SELECT name, setting FROM pg_settings WHERE name = 'data_directory';
SHOW timezone;结语与展望:14 寿终正寝,19 呼之欲出
PostgreSQL 全球社区之所以长盛不衰,依靠的正是这种每季度雷打不动的"高品质大扫除"。18.4 的推出,不仅为正在支撑各行各业核心资产的 PostgreSQL 18 集群打上了一剂强效的"免疫针",更是在用实打实的代码重构告诉所有开发者:数据安全无小事,细节决定成败。
最后,再次提醒各位热衷于技术演进的读者:随着 2026 年 5 月 18.4 的尘埃落定,老当益壮的 PostgreSQL 14 即将在 2026 年 11 月 12 日彻底迎来它的 EOL(生命周期终点) 。与此同时,包含原生 REPACK CONCURRENTLY 在内、更具科幻色彩的 PostgreSQL 19 Beta 也已经蓄势待发。
作为理性且追求卓越的数据库技术人,此时此刻,将手头的生产实例安全、平滑地推向 PostgreSQL 18.4 ,正是我们辞旧迎新、迈向下一代现代化数据架构的最佳起点!