文章：PostgreSQL 18.1和PostgreSQL 18.2主要修补了哪些问题？

1. 背景说明

PostgreSQL 18.1和18.2均为小版本更新，主要聚焦于安全漏洞修复、功能bug修正及稳定性提升。以下是两版本的核心修补内容及差异说明：

18.1是PostgreSQL 18系列的首个小版本，基于18.0的 major 版本功能（如异步I/O、uuidv7()、OAuth认证等），重点修复了18.0及之前版本存在的安全漏洞和功能缺陷，共包含数十项bug修正（具体列表见官方release notes）。

CVE-2025-12817：修复CREATE STATISTICS时未检查schema的CREATE权限的问题，防止普通表 owner 在任意schema中创建统计对象，避免命名冲突。
CVE-2025-12818：修复libpq（PostgreSQL客户端库）中内存分配的整数溢出问题，防止大输入导致的缓冲区溢出。

SQL/JSON函数优化：修复JSON_VALUE等函数含DEFAULT子句（包含COLLATE表达式）时的“unrecognized node type”错误。
查询优化器修正：修复无变量的HAVING子句、GROUPING SETS的错误优化等问题，提升查询计划准确性。
索引与存储修复：修复btree索引清理的断言错误、BRIN索引扫描的整数溢出、GIN索引并行构建的内存泄漏等问题，提升索引可靠性。
逻辑复制修复：修复逻辑复制槽的WAL保留、并行apply worker的信号处理等问题，提升复制稳定性。

18.2是18系列的第二次小版本更新，重点修复了5个高危安全漏洞及65个功能bug，进一步提升了数据库的安全性、稳定性和兼容性。

18.2修复了5个CVSS评分较高的安全漏洞，覆盖内存泄露、代码执行等风险：

CVE-2026-2003：修复oidvector类型验证不当导致的内存泄露问题，防止攻击者获取服务器内存中的敏感信息。
CVE-2026-2004：修复intarray扩展的选择性估计函数输入类型验证缺失问题，防止对象创建者执行任意代码。
CVE-2026-2005：修复pgcrypto扩展的堆缓冲区溢出问题，防止密文提供者执行任意代码。
CVE-2026-2006：修复文本操作中多字节字符长度验证缺失问题，防止攻击者通过 crafted 查询实现缓冲区溢出并执行任意代码。
CVE-2026-2007：修复pg_trgm扩展的堆缓冲区溢出问题，防止攻击者通过 crafted 输入字符串篡改服务器内存。

3.2 功能bug修正
字符串处理修复：修复substring()函数处理非ASCII Toast 文本时的报错问题（因CVE-2026-2006修复引入的回归，表现为截取多字节字符时抛出“invalid byte sequence”错误）。
WAL回放修复：修复新版本二进制回放旧版本WAL时的“could not access status of transaction”错误，提升跨小版本复制和恢复的稳定性。
其他修复：涵盖查询优化器、索引、存储、逻辑复制等多个模块的bug修正，进一步提升数据库的整体稳定性。

维度	PostgreSQL 18.1	PostgreSQL 18.2
核心目标	修复18.0的初始bug，巩固major版本功能	修复高危安全漏洞，解决18.1及之前的遗留问题
安全修复	2个安全漏洞（CVE-2025-12817/12818）	5个高危安全漏洞（CVE-2026-2003至2007）
功能修正	侧重查询优化、索引、存储的基础bug	侧重字符串处理、WAL回放的回归问题，及更广泛的功能稳定性

18.2的临时bug：18.2引入的substring()函数回归问题（处理非ASCII文本报错）及WAL回放错误，官方计划在2026年2月26日的out-of-cycle版本（18.3）中修复，建议用户等待18.3发布后再进行升级。
升级建议：若需立即升级，18.1是更稳定的选择；若需安全修复，可在18.2发布后暂时规避substring()函数的使用，并关注18.3的发布。

综上，PostgreSQL 18.1和18.2均为维护性更新，18.1聚焦初始bug修复，18.2则重点解决安全漏洞及18.1的遗留问题。用户可根据自身需求选择升级时机。