PostgreSQL 18.1、17.7、16.11、15.15、14.20 和 13.23 发布！

PostgreSQL 全球开发组已发布所有受支持版本的更新，包括 18.1、17.7、16.11、15.15、14.20 和 13.23。此版本修复了2个安全漏洞以及过去几个月报告的50多个 Bug。

完整变更列表请参阅发布说明。

PostgreSQL 13 生命周期终止通知

这是 PostgreSQL 13 的最后一次发布。PostgreSQL 13 现已到达生命周期终点，将不再接收安全和错误修复。如果您在生产环境中运行 PostgreSQL 13，我们建议您制定升级到更新的受支持版本的计划。更多信息请参阅我们的版本策略。

安全问题

CVE-2025-12817：PostgreSQL CREATE STATISTICS 未检查模式的 CREATE 权限

CVSS v3.1 基础评分：3.1

受影响的支持版本：13 - 18。

PostgreSQL CREATE STATISTICS 命令中缺少授权检查，允许表所有者通过在任意模式中创建统计信息来对其他 CREATE STATISTICS 用户实施拒绝服务攻击。拥有 CREATE 权限的用户随后为同名对象执行 CREATE STATISTICS 将会失败。PostgreSQL 18.1、17.7、16.11、15.15、14.20 和 13.23 之前的版本受此影响。

PostgreSQL 项目感谢 Jelte Fennema-Nio 报告此问题。

CVE-2025-12818：PostgreSQL libpq 因整数回绕导致内存分配不足

CVSS v3.1 基础评分：5.9

受影响的支持版本：13 - 18。

PostgreSQL libpq 客户端库多个函数中的整数回绕问题，允许应用输入提供者或网络对端使 libpq 分配的内存不足，并越界写入数百兆字节的数据，导致使用 libpq 的应用发生段错误。PostgreSQL 18.1、17.7、16.11、15.15、14.20 和 13.23 之前的版本受此影响。

PostgreSQL 项目感谢 Aleksey Solovev（Positive Technologies）报告此问题。

Bug 修复与改进

此次更新修复了过去几个月报告的50多个 Bug。以下列出的问题影响 PostgreSQL 18，其中部分问题可能也影响其他受支持版本。

• 避免哈希右半连接返回重复行。
• 避免并行 GIN 索引构建期间可能出现的内存不足故障。
• 多项 BRIN 索引修复。
• 修复与分区表相关的崩溃问题，包括重新检查期间发生的崩溃。
• 避免在 DETACH CONCURRENTLY 期间重复哈希分区约束，该问题此前在转储/恢复或父表在 DETACH 后被删除时会导致问题。
• 禁止在分区键和 COPY ... FROM ... WHERE 子句中使用生成列。
• 修复 pg_stat_replication 视图中复制延迟的错误报告。
• 当 synchronized_standby_slots 引用不存在的复制槽时避免失败。
• 避免从流式切换到归档 WAL 源时意外关闭 WAL 接收器。
• 避免不必要地使逻辑复制槽失效。
• 正确处理 PL/pgSQL 赋值语句中的 GROUP BY DISTINCT。
• 避免在 PL/Python 中处理 SQL 错误时发生内存泄漏。
• 修复 libpq 在 Windows 上 GSSAPI 逻辑中处理套接字相关错误的方式。
• 修复继承表列上非继承的 NOT NULL 约束的转储问题。
• 确保 pg_dump 输出中外键约束的排序一致。
• 多项 pgbench 错误处理和报告的修复。
• 修复 pg_combinebackup 中的内存泄漏。
• 允许拥有表 SELECT 权限的非超级用户使用 pg_prewarm 预热该表的索引。

更新方式

所有 PostgreSQL 更新版本都是累积性的。与其他小版本一样，用户无需通过转储和重新加载数据库或使用 pg_upgrade 来应用此更新；只需关闭 PostgreSQL 并更新其二进制文件即可。

跳过了一个或多个更新版本的用户可能需要在更新后执行额外步骤；详情请参阅早期版本的发布说明。

更多详情请参阅发布说明。

链接

• 下载
• 发布说明
• 安全
• 版本策略
• 提交 Bug
• 捐赠

如果您对本发布公告有更正或建议，请发送至 pgsql-www@lists.postgresql.org 公共邮件列表。