PostgreSQL 18.4 發布:修補 11 項安全漏洞、時區資料更新至 tzdata 2026b
PostgreSQL Global Development Group · 2026-05-14
PostgreSQL 專案於 2026 年 5 月 14 日發布 18.4、17.10、16.14、15.18 以及 14.23 的多版本同步維護更新。18.4 修補了 11 個安全漏洞與逾 60 個錯誤,是近期影響面較廣的安全補丁發布。
安全修補細節
11 項安全修補中,以下幾項技術層面較為值得關注:
- 啟動封包無限遞迴:攻擊者可傳送特製啟動封包觸發 backend 進程崩潰。此漏洞影響接受網路連線的所有 PostgreSQL 版本,建議優先升級。
- 記憶體配置整數溢位:多處記憶體配置計算存在整數溢位,可能造成 heap overflow。
- pg_createsubscriber 訂閱名稱引用不足:導致 SQL injection 可能;
pg_rewind的邏輯複製來源名稱同樣受影響。 - pg_basebackup 路徑穿越:
pg_basebackup與pg_rewind應用程式中的路徑處理未充分驗證,存在路徑穿越風險。
時區資料更新
tzdata 2026b 反映了英屬哥倫比亞省(America/Vancouver)的立法變動:自 2026 年 11 月起,該地區將全年固定使用 UTC-07(實質上永久夏令時間)。PostgreSQL 伺服器或依賴 TIMESTAMP WITH TIME ZONE 的應用程式若處理加拿大西岸時間,在升級後轉換結果將有所變化。
升級路徑
從 18.x 任意子版本升至 18.4 不需要 dump/restore。但從 18.2 以前版本升級,需參閱額外遷移說明。PostgreSQL 14.x 系列將於 2026 年 11 月結束支援(EOL),仍在使用 14.x 的環境應規劃主版本升級。
原始來源:PostgreSQL 18.4 Release Announcement、18.4 Release Notes
Redis 8.2 GA:指令速度提升 35%、JSON 記憶體降低 67%、Stream 新增 XDELEX 與 XACKDEL
Redis · 2025-08-12(GA 版本,2026 年 3 月已達市場主力版本)
Redis 8.2 正式版以 Redis Open Source 形式發布,帶來 14 項以上的效能與記憶體使用改進,是自 Redis 8.0 以來改動幅度最大的中間版本。
效能改進機制
35% 更快的指令速度來自多項針對性優化:
BITCOUNT:加入預取(prefetching)優化,減少快取未命中。SCAN:過期鍵檢查改為只在含 volatile 鍵的資料庫執行,避免不必要的全庫掃描。- List 指令(
LREM、LPOS、LINSERT):使用 quicklist 比較時快取 string2ll 結果。 - Sorted Set(
ZRANK等):採用相同快取策略。
49% 更高的 ops/sec 吞吐量 主要源自內部鍵儲存結構的重寫,以及 JSON 值的新型整數/浮點數壓縮表示——JSON 記憶體降低 25%~67%,數字密集型 JSON 文件改善最顯著。
新指令與擴充
Stream 新增兩個指令:
XDELEX:刪除 Stream 條目並在刪除後觸發額外的回調事件,適合需要審計或觸發下游通知的場景。XACKDEL:原子化地確認(ACK)並刪除一筆 consumer group 訊息,減少兩步操作的競態。
XADD 與 XTRIM 同步延伸了參數選項。Bitmap 的 BITOP 新增 DIFF、DIFF1、ANDOR、ONE 四個運算子,讓集合差集與 one-hot 計算可直接在 Bitmap 層完成。新指令 CLUSTER SLOT-STATS 以 slot 為粒度回報 key 數量、CPU 時間與網路 I/O,對叢集容量規劃有直接幫助。
影響範圍
Redis 8.2 於 2026 年 5 月 25 日達到 EOL,8.4 已接棒成為最新維護版本。若正在評估升級路徑,建議直接跳至 8.4(其在 8.2 基礎上進一步提升吞吐量,並引入 Array 資料型別)。Redis Software 7.2(基於 BSD 授權的 Redis OSS 7.2)同樣於 2026 年 2 月達 EOL,仍在使用者需確認遷移計畫。