Az esetek legalább 99,9999 százalékában a nem inicializált memóriaterületet felhasználni hiba. Ha ilyet találok valahol, én is kijavítom, mert normális esetben nem csinál ilyet az ember. Ha mégis ilyen megoldást kellene beépíteni, akkor alaposan le kell dokumentálni, hogy miért jó úgy, ahogyan van. Ha nincs dokumentálva, az egy hatalmas BUG!
Az, hogy csak a Debianban jött elő a probléma, nem véletlen. Gyanúm szerint máshol bele se néztek a kódba, csak ész nélkül kiadták. Extra szerencsétlenség, hogy aki "fixálta" a bugot, nem volt a helyzet magaslatán, illetve senki nem ellenőrizte, hogy mit csinál.
Tehát szerintem mind a két oldal vastagon sáros az ügyben, az OpenSSL developerek legalább annyira, ha nem jobban, mint a Debian maintainer.