Debian, OpenSSL und ein nicht so schöner Gedanke

Den ganzen technischen Aspekt will ich mal aussen vor lassen. Auch die direkten Konsequenzen werden schon genug besprochen.

Scheisse passiert, nun muss man es halt fixen. Aber (ich hoffe ich bringe niemanden damit auf dumme Ideen), ein vom OpenSSL-Problem gelöstes Beispiel:

User X comittet für das OpenSource Projekt Y Dateien, etwas im Kernel, patcht etwas etc. Ist für das Beispiel relativ uninteressant.

Nun, aus irgend einem Grund hat User X bei diesem Commit einen Problem eingefügt. Nichts was direkt auffällt, aber schon etwas mit schwerwiegenden Spätfolgen.

Es gibt ja, je nach Rechtsprechung, das Prinzip der Haftung. Ist User X für die entstehenden Schäden haftbar?

Mal abgesehen davon, dass allein durch das Stellen der Forderungen verschiedene Probleme auftreten (der User müsste sich rechtlichen Beistand zulegen, je nach Gericht in Revision gehen etc..), wie lange dauert es bis an die Entwickler von OpenSource Projekten jemand mit solchen Forderungen tritt?

Wenn $Großer_IT-Konzern Auflagen bekommt, abgemahnt wird oder von einem Kunden verklagt wird ist sowas ja immer noch relativ nahe liegend. Aber was passiert wenn jemand Ansprüche stellt weil er in kostenfreies System nutzt?

Nur so ein nicht zuende gedachter Gedanke…