PostgreSQL JDBC驱动42.7.7版本发布：安全修复与功能优化

PostgreSQL JDBC驱动（简称pgjdbc）是Java开发者连接PostgreSQL数据库的标准接口实现。作为PostgreSQL官方维护的JDBC驱动，它提供了高效、稳定的数据库连接能力，支持PostgreSQL特有的数据类型和功能特性。近日，项目团队发布了42.7.7版本，这个维护版本主要包含一个重要的安全修复和若干功能优化。

安全修复：强制通道绑定认证

本次版本最关键的改进是针对认证安全性的增强。在之前的版本中，当配置了channelBinding=require（要求通道绑定）时，驱动对于非SASL认证方法会静默忽略这一安全要求。这可能导致开发者误以为启用了通道绑定保护，实际上却存在潜在风险。

通道绑定（Channel Binding）是一种安全机制，它将TLS层的信息与认证过程绑定，可以有效防止中间人攻击。42.7.7版本修复了这个问题，现在当配置为require时，驱动会：

1. 拒绝使用非SASL认证方法的连接
2. 在SASL认证未正确完成时拒绝连接
3. 严格确保通道绑定要求被强制执行

这个修复对应CVE-2025-49146问题，建议所有使用通道绑定功能的用户尽快升级。

连接有效性检测优化

另一个值得注意的修复是关于Connection.isValid()方法的改进。在某些情况下，即使数据库连接仍然有效，该方法也可能返回false，特别是当连接中存在已释放的预处理语句时。42.7.7版本修正了这一行为，确保只要底层连接有效，该方法就会返回true，无论预处理语句的状态如何。

这个改进对于连接池管理特别重要，可以避免连接池错误地丢弃仍然可用的数据库连接。

测试与维护改进

开发团队在本次发布中还增加了专门的ChannelBindingRequiredTest测试用例，用于验证通道绑定配置的正确行为。这体现了项目对安全功能的重视程度。

在构建系统方面，项目继续完善Gradle构建配置，包括：

• 更新了SLF4J和Logback的测试依赖版本
• 改进了依赖管理配置
• 优化了持续集成流程

升级建议

对于生产环境用户，特别是那些使用通道绑定功能的系统，建议尽快升级到42.7.7版本以获取安全修复。升级过程通常只需替换驱动jar文件即可，不需要修改应用代码。

对于使用连接池的场景，新版本改进的isValid()方法行为将有助于提高连接池管理的准确性，减少不必要的连接重建开销。

PostgreSQL JDBC驱动团队通过这个维护版本再次展示了他们对安全性和稳定性的承诺，建议所有用户考虑升级以获得最佳的安全保障和功能体验。