Datenbank-Admins, aufgepasst: Am 14. Mai 2026 hat die PostgreSQL Global Development Group das gesamte Punkt-Release-Set veröffentlicht — 18.4, 17.10, 16.14, 15.18 und 14.23. In diesem Mehrgenerationen-Update werden 11 Sicherheitslücken geschlossen und über 60 weitere Bugs gefixt.
SCHOCK: 11 CVEs — Lieblings-Datenbank wird zur Baustelle
Die elf gepatchten CVEs verteilen sich über mehrere Bereiche: Authentifizierung, Privilege-Handling, Backend-Logik und SQL-Funktionen. Details landen wie üblich in den Release-Notes; klar ist: Wer öffentlich erreichbare Postgres-Instanzen betreibt, sollte den nächsten Wartungsslot nutzen.
UNGLAUBLICH: 60 weitere Bugs entlang aller Branches
Neben den Sicherheitsfixes flossen über 60 reguläre Bugfixes in alle unterstützten Major-Versionen. Highlights: bessere Stabilität beim Asynchronous-I/O-Subsystem in 18, Korrekturen für oauth-Auth-Plugins und Verbesserungen bei den uuidv7-basierten Indizes.
KONTEXT: PostgreSQL 18 ist die Major-Frische
Wer noch nicht auf 18 gewechselt ist, verpasst die größten Schritte der letzten Jahre. Asynchronous I/O beschleunigt Sequential-Scans, Bitmap-Heap-Scans und Vacuums spürbar. Skip-Scan-Lookups erlauben jetzt Multicolumn-B-Tree-Indizes in deutlich mehr Fällen. Virtual Generated Columns rechnen erst zur Query-Zeit, sparen Storage. Und die neue uuidv7()-Funktion liefert Time-Sortable UUIDs, die in B-Tree-Indizes spürbar performanter sind.
SECURITY-FEATURE: OAuth-Auth ohne Zusatz-Server
PostgreSQL 18 hat eine eigene oauth-Authentifizierung bekommen. Damit lassen sich User über Standard-OAuth-Provider authentifizieren, ohne dass du extra einen Proxy aufsetzen musst. Die 18.4-Patches stabilisieren genau diesen Pfad weiter — wer den oauth-Pfad bereits aktiviert hat, profitiert direkt.
EXTRA: PG_UNICODE_FAST für Case-Vergleiche
Mit 18 gibt es die PG_UNICODE_FAST-Collation: Volle Unicode-Semantik bei Case-Vergleichen, dazu beschleunigte Upper-/Lower-Vergleiche und eine neue casefold-Funktion für case-insensitive Vergleiche. Praktisch in I18N-lastigen Setups, etwa beim Such-Index für mehrsprachige Inhalte.
So patchst du in 30 MINUTEN!
Bei Distros wie Debian, Ubuntu oder RHEL stehen die Punkt-Releases innerhalb weniger Tage in den offiziellen Repos. Bei Docker-Setups einen aktuellen Image-Tag pullen, Replikas zuerst, dann Primaries durchstarten. Reine Punkt-Releases brauchen kein pg_upgrade — du musst nur den Service neu starten, sobald die Binaries getauscht sind.
EXTRA-TIPP: Backup-Snapshot vor dem Restart
Auch wenn Punkt-Releases keine Schema-Migrationen mitbringen: Vor jedem Postgres-Restart einen aktuellen Logical-Backup ziehen. Bei großen Clustern lieber pg_basebackup mit Slot, damit du im Worst Case auf einen Replika wechseln kannst, ohne dass dein Primärsystem in den Recovery-Mode rutscht.
FAZIT: Patchen — heute Abend, nicht erst Montag
11 CVEs in einem Release sind eine deutliche Ansage. PostgreSQL-Punkt-Releases sind traditionell schmerzlos einzuspielen, also gibt es wenig Gründe, das aufzuschieben. Wer Multi-Major-Setups fährt (z. B. 14, 16 und 18 nebeneinander), sollte einen koordinierten Roll-out planen — alle profitieren von den Backports.
Häufige Fragen
Welche Versionen sind betroffen?
Wie merke ich, ob mein System verwundbar ist?
SELECT version(); die genaue Patch-Version. Liegt sie unter dem aktuellen Punkt-Release deiner Major-Version, bist du im Patch-Backlog. Cloud-Datenbanken wie AWS RDS oder Azure Database for PostgreSQL kommen meist binnen ein, zwei Wochen nach Release nach.Wie behebe ich das Problem konkret?
Gab es schon aktive Angriffe?
Quellen: PostgreSQL News Punkt-Release, PostgreSQL Release Notes, Releasebot PostgreSQL Mai 2026.