Itt a legnagyobb baj a munkamódszerekkel van. Az egy dolog hogy Kurt kikommentezte a 100 soros ssleax_add_rand(const void *buf, int num, double add) egyetlen sorát, azt ami seedeli a PRNG-t (amúgy a függvény neve is elég beszédes).
Itt van a Changelog egy része:
"openssl (0.9.8b-1) unstable; urgency=low
...
* Don't add uninitialised data to the random number generator. This stop
valgrind from giving error messages in unrelated code.
(Closes: #363516)
...
-- Kurt Roeckx Thu, 4 May 2006 20:40:03 +0200
openssl (0.9.8c-1) unstable; urgency=low
...
* Move the modified rand/md_rand.c file to the right place,
really fixing #363516.
...
-- Kurt Roeckx Sun, 17 Sep 2006 14:47:59 +0000
openssl (0.9.8g-9) unstable; urgency=high
...
[ Kurt Roeckx ]
* ssleay_rand_add() really needs to call MD_Update() for buf.
-- Kurt Roeckx Wed, 07 May 2008 20:32:12 +0200"
2006 május 4. próbálta a lyukat ütni, ami nem sikerült neki. Rossz helyre töltötte fel az md_rand.c-t, de ezt a botlást szeptemberben "kijavította".
Nem használ semmilyen dpatch-hez hasonló eszközt, így elég nehéz gyorsan rájönni, hogy mit is csinált, miután hagyott egy rejtélyes changelog sort. A Debian több mint 100 sornyi változtatást ad az OpenSSL-hez, de ezeket nem különíti el a csomagolási részletektől a .diff.gz-jeiben.
Ha mindazokat az általános csoport munka szabályokat ismernék, és használnák a Debianos karbantartók amiket SW technologia órákon már ezeréve tanítanak, akkor nem történt volna meg az hogy több éven keresztül bugos marad a csomag. Biztos megkérdezte volna tőle valaki, hogy mit miért csináltál!?
SZVSZ nyilvánvaló a Debian project szervezetlensége, a karbantartók hozzánemértése, és hanyagsága.