在Ruby的程序库和系统上已经出现了一系列的最新安全缺陷。

其中的一个问题来自safe levels。通过设置safe level，可以禁止操作和定义被认为是污染了的数据。Ruby中的污染数据（Tainted Data）在使用前必须显式的净化。被发现的安全缺陷有：
untrace_var在safe level 4是允许的
$PROGRAM_NAME在safe level 4是可以修改的
不安全的方法在safe level 1-3可能可以调用
Syslog操作在safe level 4是允许的
请看带有代码实例的缺陷列表。另一个和污染数据相关的问题来自于dl。dl程序库允许用户载入动态库并调用其中的函数。因为dl并没有检测传入参数的被污染程度，因此可以借此来实现缓冲区溢出（exploits）攻击。


在WEBrick中也发现了安全缺陷，这可能会导致拒绝服务（DoS）攻击。问题源自用于响应和解析HTTP头的部分代码导致──在特定的数据下，正则引擎会挂掉导致程序终止。


近期发现的DNS安全问题也影响到了Ruby，通过DNS事务ID和源端口的随机化，这个问题得到了解决。


对于1.8.x的用户，解决方法是升级至1.8.6-p286和1.8.7-p71。对于1.9.x的Ruby用户，似乎当前最好的解决方法就是从SVN中取得最新的代码──所有在r18423之后的版本应该都是安全的。


最后，提醒一句：虽然最近发现的Ruby解释器的问题已经解决了──但是第一个修复版存在兼容性的问题。在将其正式投入产品级应用以前，要对升级进行仔细的测试。


升级到1.8.7也是个可能导致问题的解决方案。如果在Ruby 1.8.7上使用Rails 2.0，则会默认将ActiveSupport方法添加到String中，而因为语义稍有不同（请看InfoQ关于Ruby开放类的文章来了解相关问题），可能会引发问题。Rails 2.1在Ruby 1.8.7可以正常工作。